Kostenlos scannen
LOWCVE-2025-12224CVSS 3.5

Iqbolshoh php-business-website contact.php cross site scripting

wird übersetzt…

Plattform

php

Komponente

report

Behoben in

10677743.0.1

AI Confidence: mediumNVDEPSS 0.1%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2025-12224 describes a cross-site scripting (XSS) vulnerability discovered in php-business-website, affecting versions up to 10677743a8dfc281f85291a27cf63a0bce043c24. This flaw allows attackers to inject malicious scripts into the application, potentially compromising user accounts and data. A fix is available in version 10677743.0.1.

Auswirkungen und Angriffsszenarienwird übersetzt…

The XSS vulnerability in php-business-website allows an attacker to inject arbitrary JavaScript code into the application's web pages. This can be exploited to steal user cookies, redirect users to malicious websites, or deface the website. Successful exploitation could lead to unauthorized access to sensitive data, including user credentials and personal information. Because the vulnerability is triggered by manipulating the 'twitter' argument, attackers could craft malicious links or inject scripts through user input fields that are reflected in the application's output. The remote nature of the exploit increases the potential attack surface.

Ausnutzungskontextwird übersetzt…

A public proof-of-concept (PoC) for CVE-2025-12224 has been published, indicating a relatively high likelihood of exploitation. The vulnerability was disclosed on 2025-10-27. The vendor was notified prior to public disclosure. The CVSS score is LOW, suggesting the exploit may require specific conditions or user interaction to be successful, but the availability of a PoC increases the risk.

Wer Ist Gefährdetwird übersetzt…

Organizations using php-business-website in environments where user input is not properly validated and sanitized are at risk. Shared hosting environments where multiple users share the same instance of the application are particularly vulnerable, as an attacker could potentially compromise other users' accounts.

Erkennungsschrittewird übersetzt…

• php: Examine the admin/contact.php file for unsanitized use of the twitter parameter. Search for instances where user input is directly outputted without proper encoding. • web: Monitor access logs for requests to admin/contact.php containing suspicious URL parameters or JavaScript code. • generic web: Use a WAF to detect and block XSS payloads targeting the admin/contact.php endpoint. Look for patterns like <script> tags or javascript: URLs in requests.

grep -i '<script' /var/log/apache2/access.log

Angriffszeitlinie

  1. Disclosure

    disclosure

  2. PoC

    poc

  3. Patch

    patch

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.05% (16% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R3.5LOWAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentereport
HerstellerIqbolshoh
Betroffener BereichBehoben in
10677743a8dfc281f85291a27cf63a0bce043c24 – 10677743a8dfc281f85291a27cf63a0bce043c2410677743.0.1

Schwachstellen-Klassifikation (CWE)

CWE-79CWE-94

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. EPSS aktualisiert

Mitigation und Workaroundswird übersetzt…

The primary mitigation for CVE-2025-12224 is to upgrade php-business-website to version 10677743.0.1 or later. Given the rolling release model of this product, continuous updates are expected. If immediate upgrading is not possible, consider implementing input validation and output encoding on the 'twitter' parameter in admin/contact.php to sanitize user-supplied data. Web application firewalls (WAFs) configured to detect and block XSS payloads can also provide an additional layer of protection. Regularly review and update your WAF rules to ensure they are effective against emerging threats.

So behebenwird übersetzt…

Actualice a una versión parcheada del software php-business-website. Debido a que el proveedor no responde, revise el código fuente de admin/contact.php y filtre/escape la entrada del parámetro 'twitter' para evitar la inyección de código XSS. Considere deshabilitar o eliminar el componente si no se puede actualizar o parchear de forma segura.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2025-12224 — XSS in php-business-website?

CVE-2025-12224 is a cross-site scripting (XSS) vulnerability in php-business-website versions up to 10677743a8dfc281f85291a27cf63a0bce043c24, allowing attackers to inject malicious scripts.

Am I affected by CVE-2025-12224 in php-business-website?

You are affected if you are using php-business-website versions prior to 10677743.0.1 and have not implemented mitigating controls.

How do I fix CVE-2025-12224 in php-business-website?

Upgrade to php-business-website version 10677743.0.1 or later. Implement input validation and output encoding as a temporary workaround.

Is CVE-2025-12224 being actively exploited?

A public proof-of-concept exists, suggesting a potential for active exploitation.

Where can I find the official php-business-website advisory for CVE-2025-12224?

Contact the vendor directly for the official advisory, as specific version information is not readily available due to the rolling release model.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen