Informazioni sul CVE-2025-27088
Reflected Cross-site Scripting (XSS) in template implementation in oxyno-zeta/s3-proxy
CWE ID: CWE-79
Base Score (CVSS): 8.4
CVE: CVE-2025-27088
Descrizione: “oxyno-zeta/s3-proxy è un proxy S3 scritto in Go. In versioni interessate, una vulnerabilità riflessa Cross-Site Scripting (XSS) consente agli attaccanti di creare URL malevoli che, quando visitati, iniettano script nel web application. Questo può portare al furto di sessione o agli attacchi di phishing su un dominio fidato, rappresentando un rischio moderato per tutti gli utenti. È possibile iniettare elementi HTML, inclusi script, attraverso il template della lista di cartelle. Questo template influente consente agli utenti di interagire con il percorso URL fornito dalla variabile `Request.URL.Path`, che viene quindi renderizzato direttamente nel HTML senza una corretta sanificazione o escape. Questo può essere abusato dagli attaccanti che creano una URL malevola contenente script HTML o JavaScript. Quando gli utenti visitano tale URL, lo script malevolo verrà eseguito nel contesto dell’utente. Questo problema è stato risolto in versione 4.18.1 e gli utenti sono invitati ad aggiornare. Non esistono soluzioni alternative per questa vulnerabilità.”
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/oxyno-zeta/s3-proxy/security/advisories/GHSA-pp9m-qf39-hxjc
- https://github.com/oxyno-zeta/s3-proxy/commit/c611c741ed4872ea3f46232be23bb830f96f9564
- https://github.com/oxyno-zeta/s3-proxy/blob/master/templates/folder-list.tpl#L19C21-L19C38
Prodotti interessati
- oxyno-zeta – s3-proxy
Relazioni con altri prodotti
Produttore:oxyno-zeta
Prodotto: s3-proxy
Anno: 2025
CWE: CWE-79
CVSS: 8.4