Vulnerabilidad en SmartBanner.js (CVE-2025-25300)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/02/2025
Última modificación:
18/02/2025
Descripción
SmartBanner.js es un banner de aplicaciones inteligente personalizable para iOS y Android. Antes de la versión 1.14.1, haga clic en el enlace SmartBanner `View` y navegando a la página de terceros de las hojas de` Window.opener` expuestas. Puede permitir que terceros hostiles abusen de `window.opener`, por ejemplo, mediante redirección o inyección en la página original con SmartBanner. `rel =" noopener "` se pobla automáticamente en enlaces a partir de `v1.14.1`, que es una actualización recomendada para resolver la vulnerabilidad. Algunos workarounds están disponibles para aquellos que no pueden actualizar. Asegúrese de que el enlace 'Ver' solo esté llevando a los usuarios a App Store o Google Play Store, donde la seguridad está protegida por los respectivos equipos de seguridad de la tienda de aplicaciones. Si el enlace `View` va a una página de terceros, limite SmartBanner.js para usarse en iOS que disminuye el alcance de la vulnerabilidad ya que a partir de Safari 12.1,` rel = "noopener" `se impone en todos los` target = " _Blank "` enlaces. La versión 1.14.1 de SmartBanner.js contiene una solución para el problema.