VDB-310751 · Submeter #583533 · CVE-2025-5411

Mist Community Edition até 4.7.1 views.py tag_resources dia Script de Site Cruzado

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
4.0	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade classificada como problemático foi encontrada em Mist Community Edition até 4.7.1. O impacto ocorre em a função tag_resources no arquivo src/mist/api/tag/views.py. A manipulação do argumento dia com uma entrada desconhecida leva a Script de Site Cruzado. Esta vulnerabilidade é referenciada como CVE-2025-5411. É possível lançar o ataque remotamente. Adicionalmente, há um exploit disponível. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Uma vulnerabilidade classificada como problemático foi encontrada em Mist Community Edition até 4.7.1. O impacto ocorre em a função tag_resources no arquivo src/mist/api/tag/views.py. A manipulação do argumento dia com uma entrada desconhecida leva a Script de Site Cruzado. Usar CWE para declarar o problema leva a CWE-79. A fraqueza foi publicada por Alex Perrakis, Efstratios Chatzoglou and Georgios Kambourakis. O aviso pode ser baixado em github.com.

Esta vulnerabilidade é referenciada como CVE-2025-5411. É possível lançar o ataque remotamente. Informações técnicas estão acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Adicionalmente, há um exploit disponível. O exploit foi tornado público e pode ser usado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. A técnica de ataque utilizada por esta edição é T1059.007 de acordo com MITRE ATT&CK.

É declarado como prova de conceito. A exploração está disponível em github.com.

A actualização para a versão 4.7.2 é capaz de abordar esta questão. A versão actualizada está pronta para ser descarregada em github.com. O nome do adesivo é db10ecb62ac832c1ed4924556d167efb9bc07fad. O bugfix está disponível para download em github.com. Recomenda-se a actualização do componente afectado.

Produtoinformação

Fabricante

Mist

Nome

Community Edition

Versão

Licença

código aberto

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vetor: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 4.1
VulDB Meta Pontuação Temporária: 4.0

VulDB Pontuação Base: 3.5
VulDB Pontuação Temporária: 3.2
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 5.4
NVD Vetor: 🔍

CNA Pontuação Base: 3.5
CNA Vetor: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Script de Site Cruzado
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo 0-dia: 🔍

Atualização: Community Edition 4.7.2
Patch: db10ecb62ac832c1ed4924556d167efb9bc07fad

Linha do tempoinformação

31/05/2025 🔍
31/05/2025 +0 dias 🔍
25/11/2025 +178 dias 🔍

Fontesinformação

Aconselhamento: github.com
Pessoa: Alex Perrakis, Efstratios Chatzoglou, Georgios Kambourakis
Estado: Confirmado

CVE: CVE-2025-5411 (🔍)
GCVE (CVE): GCVE-0-2025-5411
GCVE (VulDB): GCVE-100-310751
scip Labs: https://www.scip.ch/en/?labs.20161013