Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de Cross-Site Scripting (XSS) en Soteshop

Fecha de publicación 28/02/2025
Identificador
INCIBE-2025-0111
Importancia
3 - Media
Recursos Afectados

Soteshop, versiones anteriores a 8.3.4.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Soteshop, un software de tienda online, la cual ha sido descubierta por Gonzalo Aguilar García (6h4ack).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-1776: CVSS v3.1: 6.1 | CVSS CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
Solución

La vulnerabilidad ha sido solucionada por el equipo de Soteshop en la versión 8.3.4.

Detalle

CVE-2025-1776: vulnerabilidad de Cross-Site Scripting (XSS) reflejado en Soteshop, versiones anteriores a la 8.3.4, que podría permitir a atacantes remotos ejecutar código arbitrario a través del parámetro "query", en /app-google-custom-search/searchResults. Esta vulnerabilidad puede ser explotada para robar datos sensibles del usuario, como las cookies de sesión, o para realizar acciones en nombre del usuario.

Listado de referencias
Soteshop - Web del producto
Etiquetas