Plataforma
php
Componente
vulnerabilities
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en School Management Software, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la página de galería de fotos, potencialmente comprometiendo la confidencialidad y la integridad de los datos del usuario. La vulnerabilidad afecta a la función del archivo /photo-gallery y se ha solucionado en la versión 1.0.1.
La vulnerabilidad XSS en School Management Software permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página de galería de fotos. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios, permitiéndole acceder a sus cuentas. La naturaleza remota de la explotación significa que un atacante no necesita acceso directo al servidor para explotar la vulnerabilidad. La divulgación pública de la vulnerabilidad aumenta significativamente el riesgo de explotación.
La vulnerabilidad CVE-2025-0560 ha sido divulgada públicamente el 18 de enero de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un proof-of-concept público aumenta la probabilidad de explotación por parte de actores maliciosos.
Schools and educational institutions using CampCodes School Management Software are at risk. Specifically, organizations relying on the software to manage student data or sensitive information are particularly vulnerable. Shared hosting environments where multiple users share the same server resources could also be affected, as a successful exploit could potentially impact other applications hosted on the same server.
• generic web: Use curl to test the /photo-gallery endpoint with a malicious payload in the Description parameter. Examine the response for signs of script execution.
curl 'http://<target>/photo-gallery?Description=<script>alert("XSS")</script>'• generic web: Check access and error logs for suspicious requests to /photo-gallery containing unusual characters or script tags. • php: Examine the source code of the Photo Gallery Page component for insecure handling of user input in the Description field. Look for missing or inadequate sanitization routines.
disclosure
Estado del Exploit
EPSS
0.10% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-0560 es actualizar School Management Software a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la página de galería de fotos. Implementar una Web Application Firewall (WAF) con reglas para bloquear scripts XSS también puede ayudar a mitigar el riesgo. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de scripts puede proporcionar una capa adicional de defensa.
Actualizar a una versión parcheada del software de gestión escolar. Si no hay una versión disponible, desinfectar las entradas del usuario en la página de la galería de fotos, especialmente el campo 'Descripción', para evitar la ejecución de scripts maliciosos. Considere deshabilitar temporalmente la funcionalidad de la galería de fotos hasta que se pueda aplicar una solución adecuada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0560 is a cross-site scripting (XSS) vulnerability affecting CampCodes School Management Software versions 1.0–1.0, allowing attackers to inject malicious scripts via the Description argument in the /photo-gallery file.
If you are using CampCodes School Management Software version 1.0 or 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1 of CampCodes School Management Software. As a temporary workaround, implement input validation and sanitization on the Description field.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation. Prompt remediation is advised.
Please refer to the CampCodes website or contact their support team for the official advisory regarding CVE-2025-0560.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.