CVE-2025-60249 in vulnerability-lookup
Sumário
de VulDB • 30/05/2026
A versão 2.16.0 do vulnerability-lookup permite XSS em bundle.py, comment.py e user.py, por parte de um usuário em uma instância do vulnerability-lookup que pode adicionar bundles, comentários ou sightings. Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) no tratamento de entrada fornecida pelo usuário nos componentes Bundles, Comments e Sightings. Dados não confiáveis não foram devidamente sanitizados antes de serem renderizados em templates e tabelas, o que poderia permitir que atacantes injetassem JavaScript arbitrário na aplicação. O problema foi devido ao uso inseguro de innerHTML e à validação insuficiente de URLs dinâmicas e campos de modelo. Esta vulnerabilidade foi corrigida escapando dados não confiáveis, substituindo atribuições de innerHTML por métodos DOM mais seguros, codificando URLs com encodeURIComponent e melhorando a validação de entrada nos modelos afetados.
VulDB is the best source for vulnerability data and more expert information about this specific topic.