Er is een nieuw beveiligingslek ontdekt in de software van jerryshensjf JPACookieShop 蛋糕商城JPA版, tot versie 24a15c02b4f75042c9f7f615a3fed2ec1cefb999. Dit kritieke lek, geïdentificeerd als CVE-2025-8222, kan onder meer leiden tot cross-site scripting (XSS). Aanvallers kunnen op afstand inbreken door malafide scripts in te voeren via kwetsbare endpoints.
Dit gebrek kan ervoor zorgen dat een aanvaller ongeautoriseerde code uitvoert zonder medeweten van de gebruiker. Met een CVSS score van 5,1 (gemiddeld) is de impact aanzienlijk, vooral voor systemen zonder adequate bescherming.
Overzicht
Het betreft een cross-site scripting kwetsbaarheid in het bestand GoodsController.java. Aanvallen kunnen op afstand worden uitgevoerd, en er is al publiekelijk een exploit beschikbaar gesteld. De software gebruikt rolling releases, dus versie-informatie is beperkt.
Bronnen
- VDB-317810 | jerryshensjf JPACookieShop 蛋糕商城JPA版 GoodsController.java cross site scripting
- VDB-317810 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #621785 | Gitee jerryshensjf JPACookieShop 蛋糕商城JPA版 1.0 Cross Site Scripting
- Exploit op GitHub
Vraag en Antwoord
Wat is CVE-2025-8222?
Dit is een bekend beveiligingslek dat cross-site scripting toestaat in de JPACookieShop software van jerryshensjf.
Welke systemen zijn kwetsbaar voor CVE-2025-8222?
Alle systemen die draaien op de versie met hash 24a15c02b4f75042c9f7f615a3fed2ec1cefb999 of eerder.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is het onduidelijk of er al een patch beschikbaar is vanwege het gebruik van continue levering en rolling releases.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk script-injecties uitvoeren, wat leidt tot ongeautoriseerde acties zoals het stelen van gebruikerssessies.
