Vulnerabilidad en xrpl.js (CVE-2025-32965)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

22/04/2025

Última modificación:

23/04/2025

Descripción

xrpl.js es una API de JavaScript/TypeScript para interactuar con el Libro Mayor de XRP en Node.js y el navegador. Las versiones 4.2.1, 4.2.2, 4.2.3 y 4.2.4 de xrpl.js fueron comprometidas y contenían código malicioso diseñado para exfiltrar claves privadas. La versión 2.14.2 también es maliciosa, aunque es menos probable que resulte en explotación, ya que no es compatible con otras versiones 2.x. Cualquiera que haya usado una de estas versiones debe detener su uso inmediatamente y rotar las claves privadas o secretos utilizados en los sistemas afectados. Los usuarios de xrpl.js deben actualizar a la versión 4.2.5 o 2.14.3 para recibir un parche. Para proteger los fondos, considere cuidadosamente si alguna clave pudo haber sido comprometida por este ataque a la cadena de suministro y mitigue el riesgo enviando fondos a billeteras seguras o rotando las claves. Si la clave maestra de alguna cuenta está potencialmente comprometida, desactívela.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vulnerabilidad en xrpl.js (CVE-2025-32965)

Descripción

Impacto

Referencias a soluciones, herramientas e información