Plataforma
php
Componente
my-cves
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Tourism Management System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, comprometiendo potencialmente la seguridad de los usuarios y la integridad de los datos. La vulnerabilidad reside en el archivo /admin/manage-pages.php y se puede explotar remotamente. La versión 1.0.1 ya incluye la corrección.
La vulnerabilidad XSS en Tourism Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, lo que permitiría al atacante hacerse pasar por el usuario y acceder a información confidencial o realizar acciones en su nombre. Además, el atacante podría redirigir al usuario a sitios web maliciosos, inyectar contenido falso o modificar la apariencia de la aplicación para engañar al usuario. El impacto se amplifica si la aplicación se utiliza para gestionar información sensible de clientes o empleados.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la severidad se clasifica como baja (CVSS 3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios la convierten en una preocupación. No se han reportado campañas de explotación activas conocidas al momento de la publicación, pero es probable que se convierta en un objetivo para atacantes oportunistas. Publicada el 2025-01-17.
Administrators and users of the Tourism Management System are at risk, particularly those who rely on the system to manage sensitive data or financial information. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a successful attack could potentially compromise other websites hosted on the same server.
• wordpress / composer / npm:
grep -r "pgedetails" /admin/manage-pages.php• generic web:
curl -I http://your-tourism-management-system.com/admin/manage-pages.php?pgedetails=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.21% (43% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-0538 es actualizar el Tourism Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/manage-pages.php. Además, se puede considerar la implementación de una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts. Verificar la actualización revisando la versión del sistema después de la instalación.
Actualice el sistema Tourism Management System a una versión parcheada que solucione la vulnerabilidad XSS en el archivo manage-pages.php. Si no hay una versión parcheada disponible, revise y filtre cuidadosamente las entradas del parámetro pgedetails para evitar la inyección de código malicioso. Considere implementar validación y sanitización de datos en el lado del servidor para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0538 is a cross-site scripting (XSS) vulnerability affecting Tourism Management System versions 1.0 through 1.0. It allows attackers to inject malicious scripts via the /admin/manage-pages.php file.
You are affected if you are using Tourism Management System version 1.0 or 1.0. Upgrade to version 1.0.1 or later to resolve the vulnerability.
Upgrade to version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding on the pgedetails parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the Tourism Management System's official website or security advisory page for the latest information and updates regarding CVE-2025-0538.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.