Plataforma
php
Componente
my-cves
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Car Rental Management System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en las páginas web, comprometiendo potencialmente la seguridad de los usuarios. La vulnerabilidad reside en el archivo /admin/manage-pages.php, donde la manipulación del parámetro pgdetails puede desencadenar la ejecución del script. La versión 1.0.1 ya incluye la corrección.
La vulnerabilidad XSS en Car Rental Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser clickeado por un administrador, ejecute un script que robe sus credenciales de acceso. El impacto se amplifica si el sistema se utiliza para gestionar información sensible de clientes o vehículos, ya que un atacante podría acceder a estos datos. Esta vulnerabilidad es similar a otras XSS encontradas en aplicaciones web que no validan correctamente la entrada del usuario.
La vulnerabilidad CVE-2025-0537 fue divulgada públicamente el 17 de enero de 2025. No se ha identificado su inclusión en el KEV de CISA ni se ha reportado explotación activa en campañas conocidas. La disponibilidad de un PoC público aumenta el riesgo de explotación, por lo que se recomienda aplicar la mitigación lo antes posible. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Administrators of Car Rental Management System instances running versions 1.0 are at immediate risk. Shared hosting environments where multiple users share the same server and application instance are particularly vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.
• wordpress / composer / npm:
grep -r "pgdetails" /var/www/html/admin/manage-pages.php• generic web:
curl -I http://your-car-rental-system/admin/manage-pages.php?pgdetails=<script>alert('XSS')</script>disclosure
Estado del Exploit
EPSS
0.14% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-0537 es actualizar el Car Rental Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de la entrada del usuario en el archivo /admin/manage-pages.php. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro pgdetails. Monitorear los logs del servidor en busca de intentos de inyección de scripts también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando el archivo /admin/manage-pages.php y asegurándose de que la entrada del usuario se valida correctamente.
Actualice el Car Rental Management System a una versión posterior a la 1.0, si existe, que corrija la vulnerabilidad XSS en el archivo manage-pages.php. Si no hay una versión corregida disponible, revise y filtre las entradas del parámetro pgdetails en el archivo manage-pages.php para evitar la ejecución de código JavaScript malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0537 is a cross-site scripting (XSS) vulnerability in Car Rental Management System versions 1.0-1.0, allowing attackers to inject malicious scripts via the /admin/manage-pages.php file.
You are affected if you are using Car Rental Management System version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade Car Rental Management System to version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Monitor your systems for suspicious activity.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2025-0537.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.