CVE-2025-60249 in vulnerability-lookupinformación

Resumen

por VulDB • 2026-05-30

vulnerability-lookup 2.16.0 permite una vulnerabilidad de Cross-Site Scripting (XSS) en bundle.py, comment.py y user.py, por parte de un usuario en una instancia de vulnerability-lookup que pueda añadir bundles, comentarios o avistamientos. Se descubrió una vulnerabilidad de Cross-Site Scripting (XSS) en el manejo de la entrada proporcionada por el usuario en los componentes Bundles, Comments y Sightings. Los datos no confiables no se sanitizaron correctamente antes de ser renderizados en plantillas y tablas, lo que podría permitir a los atacantes inyectar JavaScript arbitrario en la aplicación. El problema se debió al uso inseguro de innerHTML y a una validación insuficiente de las URLs dinámicas y los campos del modelo. Esta vulnerabilidad se ha corregido escapando los datos no confiables, reemplazando las asignaciones de innerHTML con métodos DOM más seguros, codificando las URLs con encodeURIComponent y mejorando la validación de entrada en los modelos afectados.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

MITRE

Reservar

2025-09-25

Divulgación

2025-09-25

Moderación

aceptado

Artículo

VDB-325915

CPE

listo

EPSS

0.00185

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!