Plataforma
php
Componente
pocs
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema DepEd Equipment Inventory System, específicamente en las versiones 1.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo /data/add_employee.php y ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La solución recomendada es actualizar a la versión 1.0.1.
La vulnerabilidad XSS en DepEd Equipment Inventory System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web y, en última instancia, el acceso no autorizado a la información sensible almacenada en el sistema. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios y las envíe a un servidor controlado por el atacante. La divulgación pública de la vulnerabilidad aumenta significativamente el riesgo de explotación, ya que los atacantes ahora tienen acceso a información sobre cómo explotar la vulnerabilidad.
La vulnerabilidad CVE-2025-0348 ha sido divulgada públicamente el 9 de enero de 2025. Si bien la severidad CVSS es LOW (3.5), la divulgación pública aumenta significativamente el riesgo de explotación. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la información sobre la vulnerabilidad facilita su explotación por parte de atacantes con conocimientos técnicos. No se ha añadido a KEV a la fecha.
Organizations and institutions utilizing the DepEd Equipment Inventory System version 1.0, particularly those with limited resources for immediate patching, are at risk. Shared hosting environments where multiple users share the same server and application code are also at increased risk, as a vulnerability in one application can potentially impact others.
• php / web:
grep -r "<script" /var/www/html/data/add_employee.php• generic web:
curl -I http://your-deped-inventory-system/data/add_employee.php | grep -i "X-XSS-Protection"disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-0348 es actualizar el sistema DepEd Equipment Inventory System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario en el archivo /data/addemployee.php. Además, se puede considerar la implementación de una Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Verifique después de la actualización que la vulnerabilidad ya no esté presente revisando el archivo /data/addemployee.php y asegurándose de que las entradas de usuario se validen correctamente.
Actualizar a una versión parcheada del sistema DepEd Equipment Inventory System. Si no hay una versión disponible, sanitizar las entradas del usuario en el archivo /data/add_employee.php para evitar la inyección de código malicioso. Validar y escapar los datos antes de mostrarlos en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0348 is a cross-site scripting (XSS) vulnerability affecting DepEd Equipment Inventory System version 1.0, allowing attackers to inject malicious scripts via the /data/add_employee.php file.
You are affected if you are using DepEd Equipment Inventory System version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the /data/add_employee.php page.
While there are no confirmed reports of active exploitation, the public disclosure increases the likelihood of exploitation.
Refer to the CampCodes website or relevant security forums for the official advisory regarding CVE-2025-0348.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.