Vulnerabilidad en ZOO-Project (CVE-2025-25190)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
10/02/2025
Última modificación:
11/02/2025
Descripción
ZOO-Project es una plataforma de procesamiento de código abierto. El servidor del servicio de procesamiento web (WPS) de ZOO-Project contiene una vulnerabilidad de cross site scripting (XSS) en su servicio EchoProcess antes de el commit 7a5ae1a. La vulnerabilidad existe porque el servicio EchoProcess refleja directamente la entrada del usuario en su salida sin la depuración adecuada al gestionar entradas complejas. El servicio acepta varios formatos de entrada, incluidos XML, JSON y SVG, y devuelve el contenido en función del tipo MIME solicitado. Al procesar contenido SVG y devolverlo con el tipo MIME image/svg+xml, el servidor no puede limpiar el JavaScript potencialmente malicioso en atributos como onload, lo que permite la ejecución arbitraria de JavaScript en el contexto del navegador de la víctima. Esta vulnerabilidad es particularmente peligrosa porque existe en un servicio diseñado específicamente para hacer eco de la entrada del usuario, y la falta de una depuración adecuada en combinación con la gestión de SVG crea un vector XSS confiable. El commit 7a5ae1a contiene una solución para el problema.
Impacto
Puntuación base 4.0
5.50
Gravedad 4.0
MEDIA