Vulnerabilidad en GitHub, Inc. (CVE-2025-24885)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

30/01/2025

Última modificación:

30/01/2025

Descripción

pwn.college es una plataforma educativa para aprender y practicar conceptos básicos de ciberseguridad de manera práctica. La falta de control de acceso al generar páginas de Dojo personalizadas (sin privilegios) hace que los usuarios no puedan crear XSS almacenado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.60

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/pwncollege/dojo/security/advisories/GHSA-8m79-rmhw-rg84