Plataforma
php
Componente
online-bike-rental
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación Online Bike Rental versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en las páginas web, potencialmente comprometiendo la información del usuario o redirigiéndolos a sitios web fraudulentos. La vulnerabilidad afecta al componente HTTP GET Request Handler del archivo /vehical-details.php y ha sido corregida en la versión 1.0.1.
La explotación exitosa de esta vulnerabilidad de XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la suplantación de identidad del usuario. El impacto potencial es moderado, ya que requiere que la víctima visite una página web comprometida. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser visitado, ejecute un script que robe las credenciales de inicio de sesión del usuario.
La vulnerabilidad fue publicada el 9 de enero de 2025. No se han reportado activamente campañas de explotación en este momento. No se ha añadido a KEV. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario y la disponibilidad de una solución de parche.
Organizations and individuals using Online Bike Rental version 1.0 are at risk. Shared hosting environments where multiple users share the same server are particularly vulnerable, as an attacker could potentially compromise the entire server if they successfully exploit the vulnerability on one user's account.
• php / web:
curl -I 'http://your-bike-rental-site.com/vehical-details.php?param=<script>alert(1)</script>' | grep HTTP/1.1• php / web: Examine /vehical-details.php for lack of input sanitization or output encoding on user-supplied parameters. • generic web: Monitor access logs for unusual GET requests to /vehical-details.php containing suspicious characters like <script> or onerror.
disclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la aplicación Online Bike Rental a la versión 1.0.1, que incluye la corrección para la falla de XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes HTTP GET sospechosas que contengan código JavaScript malicioso. La implementación de una política de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo al restringir las fuentes de JavaScript que se pueden ejecutar en el navegador.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código XSS. Validar y escapar correctamente las entradas del usuario en el archivo /vehical-details.php, especialmente en el manejador de peticiones HTTP GET. Implementar una política de seguridad de contenido (CSP) para mitigar los riesgos de XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0339 is a cross-site scripting (XSS) vulnerability affecting Online Bike Rental versions 1.0 through 1.0, allowing attackers to inject malicious scripts via the /vehical-details.php file.
You are affected if you are using Online Bike Rental version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1 or later. As a temporary measure, implement input validation and output encoding on the /vehical-details.php page.
No active exploitation has been confirmed at this time, but diligent monitoring is recommended.
Refer to the Online Bike Rental project's official website or repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.