CVE-2025-60249 in vulnerability-lookupinformação

Sumário

de VulDB • 30/05/2026

A versão 2.16.0 do vulnerability-lookup permite XSS em bundle.py, comment.py e user.py, por parte de um usuário em uma instância do vulnerability-lookup que pode adicionar bundles, comentários ou sightings. Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) no tratamento de entrada fornecida pelo usuário nos componentes Bundles, Comments e Sightings. Dados não confiáveis não foram devidamente sanitizados antes de serem renderizados em templates e tabelas, o que poderia permitir que atacantes injetassem JavaScript arbitrário na aplicação. O problema foi devido ao uso inseguro de innerHTML e à validação insuficiente de URLs dinâmicas e campos de modelo. Esta vulnerabilidade foi corrigida escapando dados não confiáveis, substituindo atribuições de innerHTML por métodos DOM mais seguros, codificando URLs com encodeURIComponent e melhorando a validação de entrada nos modelos afetados.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

MITRE

Reservar

25/09/2025

Divulgação

25/09/2025

Moderação

aceite

Entrada

VDB-325915

CPE

pronto

EPSS

0.00185

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!