Vulnerabilidad en Arduino IDE (CVE-2025-27608)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
02/04/2025
Última modificación:
07/04/2025
Descripción
Arduino IDE 2.x es un IDE basado en Theia IDE framework y creado con Electron. Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) dentro del Arduino-IDE antes de la versión v2.3.5. La vulnerabilidad ocurre en el campo URLS de Administrador de placa adicional, que se puede encontrar en la sección Preferencias -> Configuración de la interfaz IDE Arduino. En las versiones vulnerables, los valores ingresados ??en este campo se muestran directamente al usuario a través de un objeto de información sobre herramientas de notificación, sin una rutina de codificación de salida adecuada, debido a la interpretación subyacente del motor ElectronJS. Esta vulnerabilidad expone el parámetro de entrada a los ataques AutoXSS, lo que puede conducir a riesgos de seguridad dependiendo de dónde se inyecte el payload malicioso. Esta vulnerabilidad se fija en 2.3.5.