Plataforma
php
Componente
19d21e7fdbaf3512fccfd75df3080657
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación Online Book Shop versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web, potencialmente comprometiendo la información del usuario o redirigiéndolos a sitios web fraudulentos. La vulnerabilidad afecta a la funcionalidad del archivo /booklist.php?subcatid=1 y se ha publicado públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Online Book Shop permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser clickeado, ejecute un script que robe las credenciales de acceso del usuario a la tienda online. La explotación exitosa de esta vulnerabilidad podría comprometer la confidencialidad, integridad y disponibilidad de la aplicación y los datos de los usuarios.
Esta vulnerabilidad ha sido divulgada públicamente el 7 de enero de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La disponibilidad de un PoC público aumenta el riesgo de explotación, especialmente si la aplicación no se actualiza rápidamente.
Users of Online Book Shop version 1.0 are directly at risk. Shared hosting environments where multiple websites share the same server resources are particularly vulnerable, as an attacker could potentially compromise other websites hosted on the same server if they can exploit this vulnerability.
• php / web:
grep -r 'subcatnm' /var/www/html/booklist.php | grep -i '<script'• generic web:
curl -I 'http://your-online-book-shop.com/booklist.php?subcatnm=<script>alert(1)</script>' | grep 'Content-Type' # Check for script executiondisclosure
Estado del Exploit
EPSS
0.24% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-0295 es actualizar la aplicación Online Book Shop a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /booklist.php. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear ataques XSS también puede ayudar a mitigar el riesgo. Verifique después de la actualización que la vulnerabilidad ha sido corregida revisando el archivo /booklist.php y asegurándose de que los parámetros de entrada se validan correctamente.
Actualizar a una versión parcheada o aplicar una solución que filtre o escape la entrada del parámetro 'subcatnm' en el archivo '/booklist.php' para evitar la ejecución de código XSS. Validar y limpiar las entradas del usuario es crucial para prevenir este tipo de vulnerabilidades. Si no hay una versión parcheada disponible, considere deshabilitar o eliminar la funcionalidad afectada hasta que se pueda aplicar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0295 is a cross-site scripting (XSS) vulnerability affecting Online Book Shop versions 1.0 through 1.0, allowing attackers to inject malicious scripts.
If you are using Online Book Shop version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the 'subcatnm' parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the Online Book Shop project's official website or security advisory page for the latest information and updates regarding CVE-2025-0295.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.