Vulnerabilidad en Lakeus (CVE-2025-25287)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

13/02/2025

Última modificación:

13/02/2025

Descripción

Lakeus es una máscara simple creada para MediaWiki. A partir de la versión 1.8.0 y antes de las versiones 1.3.1+REL1.39, 1.3.1+REL1.42 y 1.4.0, Lakeus es vulnerable a la ejecución de cross-site scripting almacenado a través de mensajes de sistema maliciosos, aunque la edición de los mensajes requiere privilegios elevados. Aquellos con derechos `(editinterface)` pueden editar los mensajes de sistema que se gestionan incorrectamente para enviar HTML sin formato. En el caso de `lakeus-footermessage`, esto afectará a todos los usuarios si el servidor está configurado para vincularse a este repositorio. De lo contrario, los mensajes de sistema en themeDesigner.js solo se utilizan cuando el usuario lo habilita en sus preferencias. Las versiones 1.3.1+REL1.39, 1.3.1+REL1.42 y 1.4.0 contienen un parche.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.70 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

4.70

Gravedad 3.x

MEDIA

Vulnerabilidad en Lakeus (CVE-2025-25287)

Descripción

Impacto

Referencias a soluciones, herramientas e información