CVE-2025-25189

Nome do Software Vulnerável e Versões Afetadas: Versões do ZOO-Project anteriores ao commit 7a5ae1a

Descrição: O problema está relacionado a uma vulnerabilidade de Cross-Site Scripting refletido no script CGI publish.py do ZOO-Project Web Processing Service (WPS). Esta vulnerabilidade ocorre porque o script reflete a entrada do usuário do parâmetro jobid em sua resposta HTTP sem a devida codificação HTML ou sanitização, permitindo que um atacante injete código JavaScript malicioso. Quando uma vítima acessa uma URL especialmente elaborada apontando para este endpoint, código JavaScript arbitrário pode ser executado no contexto do navegador dela.

Recomendações: Como medida de contorno temporária, considere desativar o parâmetro jobid no script CGI publish.py até que uma correção esteja disponível. Restrinja o acesso ao script CGI publish.py para minimizar o risco de exploração. Evite utilizar o parâmetro jobid no endpoint afetado até que o problema seja resolvido. Atualize para uma versão que inclua a correção fornecida no commit 7a5ae1a para resolver o problema.