CVE-2025-60249 in vulnerability-lookupthông tin

Tóm tắt

Bởi VulDB • 30/05/2026

vulnerability-lookup 2.16.0 cho phép thực hiện tấn công Cross-Site Scripting (XSS) trong các file bundle.py, comment.py và user.py, bởi người dùng trên một instance của vulnerability-lookup có khả năng thêm các bundle, bình luận hoặc sighting. Một lỗ hổng Cross-Site Scripting (XSS) đã được phát hiện trong quá trình xử lý dữ liệu do người dùng cung cấp trong các thành phần Bundles, Comments và Sightings. Dữ liệu không đáng tin cậy không được làm sạch đúng cách trước khi được hiển thị trong các mẫu (templates) và bảng, điều này có thể cho phép kẻ tấn công chèn mã JavaScript tùy ý vào ứng dụng. Lỗi này là do việc sử dụng innerHTML không an toàn và xác thực không đầy đủ đối với các URL động và các trường mô hình (model fields). Lỗ hổng này đã được khắc phục bằng cách thoát (escape) dữ liệu không đáng tin cậy, thay thế các phép gán innerHTML bằng các phương thức DOM an toàn hơn, mã hóa URL bằng encodeURIComponent và cải thiện việc xác thực đầu vào trong các mô hình bị ảnh hưởng.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

MITRE

Đặt trước

25/09/2025

Tiết lộ

25/09/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00185

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!