Cross-Site Scripting (XSS) almacenado en LUNA de Luna Imaging
LUNA, versión v7.5.5.6.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a LUNA software de Luna Imaging, Inc., un software para la gestión de activos digitales en museos, bibliotecas, archivos, instituciones culturales y colecciones especiales. La vulnerabilidad ha sido descubierta por Miguel Segovia Gil.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-41065: CVSS v4.0: 5.1| CVSS AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2025-41065: Cross-Site Scripting (XSS) almacenado en el software LUNA v7.5.5.6. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso a través de la funcionalidad 'Edit Batch Name', quedando la carga útil almacenada de forma persistente en la aplicación. Posteriormente, el contenido se presenta a otros usuarios sin una validación ni desinfección adecuadas, lo que provoca la ejecución del código en el navegador de las víctimas. La explotación de esta vulnerabilidad podría permitir el robo de información sensible, como cookies de sesión, así como la ejecución de acciones arbitrarias en nombre del usuario afectado.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
