Vulnerabilidad en NamelessMC (CVE-2025-31120)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/04/2025
Última modificación:
13/05/2025
Descripción
NamelessMC es un software web gratuito, fácil de usar y potente para servidores de Minecraft. En la versión 2.1.4 y anteriores, un mecanismo inseguro de conteo de visitas en la página del foro permitía a un atacante no autenticado aumentar artificialmente el conteo. La aplicación utiliza una cookie del cliente (nl-topic-[tid]) (o una variable de sesión para invitados) para determinar si se debe contabilizar una visita. Cuando un cliente no proporciona la cookie, cada solicitud de página incrementa el contador, lo que genera métricas de visitas incorrectas. Este problema se ha corregido en la versión 2.2.0.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:namelessmc:nameless:*:*:*:*:*:*:*:* | 2.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/NamelessMC/Nameless/commit/9b112c0beab346a38b6f5a51e7773b38c6fc52e7
- https://github.com/NamelessMC/Nameless/releases/tag/v2.2.0
- https://github.com/NamelessMC/Nameless/security/advisories/GHSA-8jv7-77jw-h646
- https://github.com/NamelessMC/Nameless/security/advisories/GHSA-8jv7-77jw-h646