Cross-Site Scripting (XSS) en AccuWeather y Custom RSS de Parsons
Fecha de publicación 25/06/2025
Identificador
INCIBE-2025-0339
Importancia
4 - Alta
Recursos Afectados
Están afectadas las siguientes versiones de AccuWeather y Custom RSS widget:
- Parsons Utility Enterprise Data Management: versión 5.18;
- Parsons Utility Enterprise Data Management: versión 5.03;
- Parsons Utility Enterprise Data Management: versiones 4.02 hasta 4.26;
- Parsons Utility Enterprise Data Management: versión 3.30;
- AclaraONE Utility Portal: versiones anteriores a 1.22.
Descripción
Joshua Dillon ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante insertar un enlace malicioso al que los usuarios podrían acceder a través de la fuente RSS.
Solución
- Para Parsons Utility Enterprise Data Management y AclaraONE Hosted, la vulnerabilidad ha sido parcheada en todas las instancias gestionadas por Parsons a partir del 7 de enero de 2025. No se requiere ninguna acción por parte del usuario final.
- Para AclaraONE On Premise se requiere acción por parte del usuario final. El parche y la información de mitigación para AclaraONE están disponibles a través del Portal del Cliente de Aclara Connect. Los usuarios pueden solicitar una cita para aplicar la actualización del parche abriendo un ticket en el Portal de Clientes de Aclara Connect, o poniéndose en contacto con nosotros por teléfono o correo electrónico.
Detalle
Existe una vulnerabilidad de Cross-Site Scripting (XSS) en Custom RSS widget y en AccuWeather, que permite a un usuario, no autenticado, sustituir la URL del canal RSS por una maliciosa. Se ha asignado el identificador CVE-2025-5015 para esta vulnerabilidad.
Listado de referencias
