Vulnerabilidad en VirtueMart (CVE-2025-6001)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

11/06/2025

Última modificación:

12/06/2025

Descripción

Existe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la función de carga de imágenes de productos de VirtueMart que omite el token de protección CSRF. Un atacante puede manipular una solicitud CSRF especial que permite la carga sin restricciones de archivos en el administrador de medios de VirtueMart.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

8.30

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://blog.blacklanternsecurity.com/p/doomla-zero-days