CVE-2025-4022: web-arena-x webarena evaluators.py HTMLContentEvaluator code injection
Description
A vulnerability was found in web-arena-x webarena up to 0.2.0. It has been declared as critical. This vulnerability affects the function HTMLContentEvaluator of the file webarena/evaluation_harness/evaluators.py. The manipulation of the argument target["url"] leads to code injection. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. In web-arena-x webarena bis 0.2.0 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Das betrifft die Funktion HTMLContentEvaluator der Datei webarena/evaluation_harness/evaluators.py. Durch Manipulation des Arguments target["url"] mit unbekannten Daten kann eine code injection-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk angegangen werden. Der Exploit steht zur öffentlichen Verfügung.
Classification
CVE ID: CVE-2025-4022
CVSS Base Severity: MEDIUM
CVSS Base Score: 6.3
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
Affected Products
Vendor: web-arena-x
Product: webarena
Exploit Prediction Scoring System (EPSS)
EPSS Score: 0.05% (probability of being exploited)
EPSS Percentile: 15.96% (scored less or equal to compared to others)
EPSS Date: 2025-05-27 (when was this score calculated)
References
https://nvd.nist.gov/vuln/detail/CVE-2025-4022https://vuldb.com/?id.306376
https://vuldb.com/?ctiid.306376
https://vuldb.com/?submit.558415
https://github.com/web-arena-x/webarena/issues/194
https://github.com/web-arena-x/webarena/issues/194#issuecomment-2796165922