Plataforma
php
Componente
vulnerabilities
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en School Management Software versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al procesamiento de archivos en la página 'Create Id Card Page', específicamente al argumento 'ID Card Title'. La versión 1.0.1 ya ha sido publicada para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. La inyección de scripts podría usarse para obtener credenciales de usuario, realizar acciones en nombre del usuario, o incluso comprometer la integridad de la base de datos de la aplicación. Dado que la explotación es remota, el impacto potencial es significativo, especialmente en entornos donde la seguridad de la aplicación es crítica.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la puntuación CVSS es baja (2.4), la facilidad de explotación y el potencial impacto hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se han reportado campañas de explotación activas conocidas a la fecha, pero la disponibilidad de la divulgación pública podría facilitar la creación de exploits automatizados.
Schools and educational institutions using Campcodes School Management Software versions 1.0–1.0 are at immediate risk. Organizations relying on this software to manage student data or other sensitive information should prioritize patching. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user could potentially impact others.
• php / web: Examine access logs for requests to /create-id-card with unusual or suspicious characters in the 'ID Card Title' parameter. Use grep to search for common XSS payloads within the application's codebase.
• generic web: Use curl to test the /create-id-card endpoint with a simple XSS payload (e.g., <script>alert(1)</script>). Check the response for signs of script execution.
curl -X POST -d "ID Card Title=<script>alert(1)</script>" http://your-school-management-software/create-id-carddisclosure
Estado del Exploit
EPSS
0.10% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar School Management Software a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la página 'Create Id Card Page'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el argumento 'ID Card Title'. Monitorear los registros de acceso y error en busca de intentos de inyección de scripts también puede ayudar a detectar y responder a ataques.
Actualice el software School Management Software a una versión posterior a la 1.0, si está disponible, que corrija la vulnerabilidad de Cross-Site Scripting (XSS) en la página de creación de tarjetas de identificación. Si no hay una actualización disponible, considere deshabilitar o eliminar la funcionalidad de creación de tarjetas de identificación o implementar medidas de saneamiento de entrada para el campo 'ID Card Title' para prevenir la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0559 is a cross-site scripting (XSS) vulnerability in Campcodes School Management Software versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'ID Card Title' parameter.
If you are using Campcodes School Management Software version 1.0 or 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the 'ID Card Title' parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Prompt patching is recommended.
Please refer to the Campcodes website or their official communication channels for the advisory related to CVE-2025-0559.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.