CVE-2025-60249 in vulnerability-lookup
Riassunto
di VulDB • 23/06/2026
vulnerability-lookup 2.16.0 consente XSS (Cross-Site Scripting) nei file bundle.py, comment.py e user.py da parte di un utente su un'istanza di vulnerability-lookup che può aggiungere bundles, commenti o sightings. È stata rilevata una vulnerabilità cross-site scripting (XSS) nella gestione dell'immissione fornita dall'utente nelle componenti Bundles, Comments e Sightings. I dati non attendibili non sono stati adeguatamente sanificati prima della renderizzazione nei template e nelle tabelle, il che potrebbe consentire agli attaccanti di iniettare codice JavaScript arbitrario nell'applicazione. Il problema è dovuto all'utilizzo insicuro di innerHTML e a una convalida insufficiente degli URL dinamici e dei campi del modello. Questa vulnerabilità è stata risolta mediante l'escape dei dati non attendibili, la sostituzione delle assegnazioni innerHTML con metodi DOM più sicuri, la codifica degli URL tramite encodeURIComponent e il miglioramento della validazione dell'immissione nei modelli interessati.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.