CVE-2025-60249 in vulnerability-lookupinformazioni

Riassunto

di VulDB • 23/06/2026

vulnerability-lookup 2.16.0 consente XSS (Cross-Site Scripting) nei file bundle.py, comment.py e user.py da parte di un utente su un'istanza di vulnerability-lookup che può aggiungere bundles, commenti o sightings. È stata rilevata una vulnerabilità cross-site scripting (XSS) nella gestione dell'immissione fornita dall'utente nelle componenti Bundles, Comments e Sightings. I dati non attendibili non sono stati adeguatamente sanificati prima della renderizzazione nei template e nelle tabelle, il che potrebbe consentire agli attaccanti di iniettare codice JavaScript arbitrario nell'applicazione. Il problema è dovuto all'utilizzo insicuro di innerHTML e a una convalida insufficiente degli URL dinamici e dei campi del modello. Questa vulnerabilità è stata risolta mediante l'escape dei dati non attendibili, la sostituzione delle assegnazioni innerHTML con metodi DOM più sicuri, la codifica degli URL tramite encodeURIComponent e il miglioramento della validazione dell'immissione nei modelli interessati.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

MITRE

Prenotare

25/09/2025

Divulgazione

25/09/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00185

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!