Plataforma
php
Componente
vulnerabilities
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en School Management Software, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'message' en el componente Chat History, ubicado en la ruta /chat/group/send. La actualización a la versión 1.0.1 resuelve esta vulnerabilidad.
La vulnerabilidad XSS en School Management Software permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario legítimo. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, enviar un mensaje manipulado a un grupo de chat, que al ser visualizado por otros usuarios, ejecutaría el script malicioso. El alcance de la vulnerabilidad depende del nivel de privilegios del usuario afectado y de la sensibilidad de la información que maneja la aplicación.
Esta vulnerabilidad ha sido divulgada públicamente el 20 de enero de 2025. No se ha reportado su inclusión en el KEV de CISA ni la confirmación de explotación activa. La disponibilidad de un PoC público aumenta el riesgo de explotación, especialmente si no se aplican las mitigaciones recomendadas.
Schools and educational institutions utilizing CampCodes School Management Software versions 1.0 through 1.0 are at risk. This includes organizations that rely on the software for student management, communication, and other administrative tasks. Shared hosting environments where multiple schools share the same server instance are particularly vulnerable, as a compromise of one school could potentially impact others.
• php / web:
curl -s -X POST "http://<target>/chat/group/send" -d "message=<script>alert('XSS')</script>" | grep "<script>alert('XSS')</script>"• generic web:
curl -s -X POST "http://<target>/chat/group/send" -d "message=<img src=x onerror=alert('XSS')>"; echo $response | grep "<img src=x onerror=alert('XSS')>"disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar School Management Software a la versión 1.0.1, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Es crucial revisar y fortalecer las políticas de seguridad de la aplicación para prevenir futuros ataques XSS.
Actualice el software School Management a una versión posterior a la 1.0, si existe, proporcionada por el proveedor. Si no hay una actualización disponible, revise y filtre las entradas del usuario en el archivo /chat/group/send para evitar la inyección de código malicioso. Considere deshabilitar la funcionalidad de chat hasta que se pueda aplicar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0581 is a cross-site scripting (XSS) vulnerability affecting CampCodes School Management Software versions 1.0–1.0, allowing attackers to inject malicious scripts via the /chat/group/send endpoint.
You are affected if you are using CampCodes School Management Software versions 1.0–1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade CampCodes School Management Software to version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround.
No active exploitation campaigns have been confirmed, but the vulnerability is publicly disclosed and poses a risk.
Please refer to the CampCodes website or contact their support team for the official advisory regarding CVE-2025-0581.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.