Plataforma
php
Componente
task-reminder-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Task Reminder System de SourceCodester, específicamente en la sección de mantenimiento. Esta falla permite a un atacante inyectar código malicioso que se ejecuta en el navegador de otros usuarios, comprometiendo potencialmente la confidencialidad e integridad de la información. La vulnerabilidad afecta a las versiones 1.0 del sistema y se ha solucionado en la versión 1.0.1. Se recomienda actualizar inmediatamente.
La vulnerabilidad XSS en Task Reminder System permite a un atacante ejecutar scripts maliciosos en el contexto del navegador de un usuario legítimo. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web para engañar al usuario. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial, o incluso comprometer la integridad del sistema. La naturaleza de XSS hace que la explotación sea relativamente sencilla, especialmente si el atacante puede engañar a un usuario para que visite una URL maliciosa.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas. La baja puntuación CVSS indica que la explotación requiere una interacción del usuario, lo que limita el alcance del riesgo, pero no lo elimina. La fecha de publicación es 2025-01-14.
Organizations and individuals using the Task Reminder System 1.0, particularly those who rely on it for managing sensitive tasks or data, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially impact others.
• wordpress / composer / npm:
grep -r "System Name" /var/www/html/task_reminder_system/• generic web:
curl -I http://your-task-reminder-system/maintenance.php?System%20Name=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-0464 es actualizar a la versión 1.0.1 del Task Reminder System. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la sección de mantenimiento. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de contenido que el navegador puede cargar. Monitorear los registros del servidor en busca de patrones sospechosos, como solicitudes inusuales a la sección de mantenimiento, también puede ayudar a detectar y responder a posibles ataques.
Actualizar a una versión parcheada del software. Si no hay una versión disponible, se recomienda deshabilitar o eliminar el componente 'Maintenance Section' o aplicar un filtro de entrada para evitar la ejecución de código JavaScript malicioso en el campo 'System Name'.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0464 is a cross-site scripting (XSS) vulnerability in Task Reminder System 1.0 that allows attackers to inject malicious scripts via the System Name argument in the Maintenance Section.
Yes, if you are using Task Reminder System version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to resolve the issue.
Upgrade to version 1.0.1 of the Task Reminder System. If immediate upgrade is not possible, implement input validation and output encoding on the System Name field.
No active exploitation campaigns have been reported, but the public disclosure of the vulnerability increases the risk of future attacks.
Refer to the SourceCodester website or their official communication channels for the advisory related to CVE-2025-0464.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.