Plataforma
php
Componente
razgover
Corregido en
37.0.1
Se ha detectado una vulnerabilidad de Cross-Site Scripting (XSS) en Razgover, afectando versiones hasta db37dfc5c82f023a40f2f7834ded6633fb2b5262. Esta vulnerabilidad reside en el archivo Chattify/send.php, específicamente en el manejo del argumento 'msg'. La explotación exitosa permite a un atacante inyectar scripts maliciosos en el contexto de la aplicación, comprometiendo la seguridad de los usuarios. Se recomienda aplicar el parche 995dd89d0e3ec5522966724be23a5d58ca1bdac3.
La vulnerabilidad XSS en Razgover permite a un atacante inyectar código JavaScript malicioso en las páginas web vistas por otros usuarios. Esto puede llevar al robo de cookies de sesión, redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser visitado por un usuario, ejecute código JavaScript que robe sus credenciales de inicio de sesión. El riesgo se agrava si la aplicación Razgover se utiliza para procesar información sensible, ya que un atacante podría comprometer la confidencialidad e integridad de los datos. Aunque la severidad CVSS es baja, la facilidad de explotación y el potencial impacto en la experiencia del usuario hacen que esta vulnerabilidad sea importante de mitigar.
La vulnerabilidad CVE-2019-25262 se publicó el 31 de diciembre de 2025. No se ha registrado en el KEV de CISA ni se han identificado públicamente pruebas de concepto (PoC) activas. La falta de información de versión específica para las versiones afectadas dificulta la evaluación precisa del riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations utilizing Razgover, particularly those relying on its Chat Message Handler component for internal communication or customer support, are at risk. Systems with older, unpatched versions of Razgover (prior to 37.0.1) are particularly vulnerable. Shared hosting environments where multiple users share the same Razgover instance are also at increased risk, as an attacker could potentially compromise other users through this vulnerability.
• php: Examine access logs for requests to Chattify/send.php with unusual or suspicious characters in the 'msg' parameter. Use grep to search for patterns like <script or onerror=.
grep '<script' /var/log/apache2/access.log | grep 'Chattify/send.php'disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2019-25262 es la aplicación del parche 995dd89d0e3ec5522966724be23a5d58ca1bdac3. Dado que Razgover utiliza un sistema de entrega continua, no se proporciona información de versión específica para las versiones afectadas o actualizadas. Si la actualización directa no es posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo Chattify/send.php. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts también puede ayudar a mitigar el riesgo. Después de aplicar el parche, confirme que la vulnerabilidad ha sido resuelta revisando el archivo Chattify/send.php y asegurándose de que el código ha sido actualizado.
Aplicar el parche 995dd89d0e3ec5522966724be23a5d58ca1bdac3 disponible en el repositorio del proyecto. Este parche corrige una vulnerabilidad de Cross-Site Scripting (XSS) en el manejo de mensajes del chat. Si no es posible aplicar el parche, considere migrar a una solución de chat más segura y mantenida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25262 is a cross-site scripting (XSS) vulnerability in Razgover's Chattify/send.php component, allowing remote attackers to inject malicious scripts.
You are affected if you are using Razgover versions up to db37dfc5c82f023a40f2f7834ded6633fb2b5262 and have not applied the patch.
Apply the patch 995dd89d0e3ec5522966724be23a5d58ca1bdac3 and upgrade to version 37.0.1.
There is currently no evidence of active exploitation of CVE-2019-25262 in the wild.
Refer to the Razgover release notes and security advisories for details on this vulnerability and the associated patch.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.