آسیبپذیری اسکریپت بین سایتی (XSS) با شناسه CVE-2020-24901 و امتیاز CVSS: 6.1 در چارچوب تور مجازی (قبل از نسخه 1.20.10) توسط عوامل مخرب برای تزریق اسکریپتهای مخرب در صدها وبسایت با هدف آلودهسازی SEO، دستکاری نتایج جستجو و تقویت کمپین تبلیغات هرزنامه در مقیاس بزرگ اکسپلویت شد.
این کمپین با نام 360XSS، بیش از 350 وب سایت از جمله پورتالهای دولتی، دانشگاههای آمریکا، هتلهای زنجیرهای بزرگ، رسانههای خبری، نمایندگیهای خودرو و چندین شرکت Fortune 500 را تحت تأثیر قرار داده است. همه این وب سایتها یک مورد مشترک دارند: چارچوب محبوب به نام Krpano که برای جاسازی تصاویر و ویدیوهای 360 درجه برای تسهیل تورهای مجازی تعاملی و تجربیات VR استفاده میشود. به کاربران Krpano توصیه شده تا به آخرین نسخه بهروزرسانی کنند و تنظیمات «passQueryParameters» را روی false قرار دهند. به صاحبان وبسایتهای آسیبپذیر توصیه میشود صفحات آلوده را از طریق کنسول جستجوی گوگل پیدا و حذف کنند.
https://thehackernews.com/2025/02/hackers-exploited-krpano-framework-flaw.html
