Vulnerabilidad en ZOO-Project (CVE-2025-25189)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

10/02/2025

Última modificación:

11/02/2025

Descripción

ZOO-Project es una plataforma de procesamiento de código abierto. Existe una vulnerabilidad de tipo Cross-Site Scripting reflejado en el script CGI publish.py del Servicio de procesamiento web (WPS) de ZOO-Project antes de el commit 7a5ae1a. El script refleja la entrada del usuario desde el parámetro `jobid` en su respuesta HTTP sin la codificación HTML ni la depuración adecuadas. Cuando una víctima visita una URL especialmente manipulada que apunta a este endpoint, se puede ejecutar código JavaScript arbitrario en el contexto de su navegador. La vulnerabilidad se produce porque el script CGI genera directamente los parámetros de la cadena de consulta en la respuesta HTML sin escapar los caracteres especiales HTML. Un atacante puede inyectar código JavaScript malicioso a través del parámetro `jobid` que se ejecutará cuando lo procese el navegador de la víctima. El commit 7a5ae1a contiene una solución para el problema.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0

5.50

Gravedad 4.0

MEDIA

Vulnerabilidad en ZOO-Project (CVE-2025-25189)

Descripción

Impacto

Referencias a soluciones, herramientas e información