Vulnerabilidad en tarteaucitron.js (CVE-2025-31475)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

07/04/2025

Última modificación:

21/10/2025

Descripción

tarteaucitron.js es un banner de cookies compatible y accesible. Se identificó una vulnerabilidad en tarteaucitron.js antes de la versión 1.20.1, donde la función addOrUpdate, utilizada para aplicar textos personalizados, no validaba correctamente la entrada. Esto permitía a un atacante con acceso directo al código fuente del sitio o a un complemento de CMS manipular prototipos de objetos JavaScript, lo que conllevaba posibles riesgos de seguridad, como corrupción de datos o ejecución de código no intencionada. Un atacante con privilegios elevados podría explotar esta vulnerabilidad para modificar prototipos de objetos, lo que afectaría el comportamiento principal de JavaScript, provocaría fallos en la aplicación o comportamientos inesperados, o incluso introduciría vulnerabilidades de seguridad adicionales según la arquitectura de la aplicación. Esta vulnerabilidad se corrigió en la versión 1.20.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno