CVE-2025-1302
CVE-2025-1302
Vexday Risk Score
68Prioridade alta
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 9.3EPSS 10.7%KEV nãoPoC públicaNuclei simMetasploit —Patch —
Ciclo de vida
15 fev 2025Publicada no NVD
25 fev 2025PoC pública
Recomendação: Planejar correção próxima — já existe PoC pública.
Versions of the package jsonpath-plus before 10.3.0 are vulnerable to Remote Code Execution (RCE) due to improper input sanitization. An attacker can execute aribitrary code on the system by exploiting the unsafe default usage of eval='safe' mode.
**Note:**
This is caused by an incomplete fix for [CVE-2024-21534](https://security.snyk.io/vuln/SNYK-JS-JSONPATHPLUS-7945884).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
Produtos afetados
n/a · jsonpath-plusPoCs públicas encontradas — 2
githubgithub.com/EQSTLab/CVE-2025-1302★ 21githubgithub.com/abrewer251/CVE-2025-1302_jsonpath-plus_RCE★ 1⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://gist.github.com/nickcopi/11ba3cb4fdee6f89e02e6afae8db6456https://github.com/JSONPath-Plus/JSONPath/blob/8e4acf8aff5f446aa66323e12394ac5615c3b260/src/Safe-Script.js%23L127https://github.com/JSONPath-Plus/JSONPath/commit/30942896d27cb8a806b965a5ca9ef9f686be24eehttps://security.snyk.io/vuln/SNYK-JS-JSONPATHPLUS-8719585