Plataforma
php
Componente
03262c6ce877137b61d745a2e4fe8a63
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación Online Book Shop, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar código JavaScript malicioso a través de la manipulación del parámetro 'catnm' en el archivo /subcat.php. La vulnerabilidad afecta a usuarios de la versión 1.0 y ha sido resuelta en la versión 1.0.1.
La vulnerabilidad XSS en Online Book Shop permite a un atacante ejecutar scripts arbitrarios en el navegador de un usuario. Esto puede resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que envíe las credenciales del usuario a un servidor controlado por él, comprometiendo así la cuenta del usuario. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la confidencialidad y la integridad de los datos de los usuarios.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La probabilidad de explotación se considera media, dado que la vulnerabilidad es relativamente sencilla de explotar y el código fuente de la aplicación es accesible. No se han reportado campañas de explotación activas conocidas a la fecha de publicación, pero la divulgación pública aumenta la posibilidad de que se desarrollen exploits.
Online Book Shop installations running versions 1.0 through 1.0 are at direct risk. Shared hosting environments where multiple users share the same server and application instance are particularly vulnerable, as an attacker could potentially compromise other users through this vulnerability.
• php / web:
grep -r "catnm" /var/www/html/subcat.php• generic web:
curl -I http://your-online-book-shop.com/subcat.php?catnm=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.24% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la aplicación Online Book Shop a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de XSS. Verificar la actualización instalando la versión 1.0.1 y probando la funcionalidad /subcat.php con diferentes valores para el parámetro 'catnm'.
Actualizar o descontinuar el uso de Online Book Shop 1.0. Debido a que no hay una versión corregida disponible, se recomienda eliminar el software o implementar medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para mitigar el riesgo de XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0301 is a cross-site scripting (XSS) vulnerability affecting Online Book Shop versions 1.0 through 1.0, allowing attackers to inject malicious scripts via the /subcat.php file.
Yes, if you are running Online Book Shop version 1.0 or 1.0, you are affected by this vulnerability and should upgrade immediately.
Upgrade to version 1.0.1 of Online Book Shop. As a temporary workaround, implement input validation and sanitization on the 'catnm' parameter.
While no active exploitation campaigns have been publicly reported, the vulnerability has been disclosed and may be targeted.
Refer to the Online Book Shop project's official website or repository for the latest security advisory regarding CVE-2025-0301.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.