Vulnerabilidad en Beego (CVE-2025-30223)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

31/03/2025

Última modificación:

01/08/2025

Descripción

Beego es un framework web de código abierto para el lenguaje de programación Go. Antes de la versión 2.3.6, existía una vulnerabilidad de Cross-Site Scripting (XSS) en la función RenderForm() de Beego debido al escape HTML incorrecto de datos controlados por el usuario. Esta vulnerabilidad permite a los atacantes inyectar código JavaScript malicioso que se ejecuta en los navegadores de las víctimas, lo que puede provocar el secuestro de sesiones, el robo de credenciales o la apropiación de cuentas. La vulnerabilidad afecta a cualquier aplicación que utilice la función RenderForm() de Beego con datos proporcionados por el usuario. Al ser una función de alto nivel que genera un marcado de formulario completo, muchos desarrolladores asumirían que escapa automáticamente los atributos (como hacen la mayoría de los frameworks). Esta vulnerabilidad se corrigió en la versión 2.3.6.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno