Plataforma
php
Componente
stackofvulnerabilities
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en School Management Software, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la página de la junta de avisos, comprometiendo potencialmente la seguridad de los usuarios. La vulnerabilidad afecta al archivo /notice-list y se ha revelado públicamente, lo que aumenta el riesgo de explotación. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en School Management Software permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página de la junta de avisos. Esto podría resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, o la modificación del contenido de la página. Un atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial, o incluso comprometer la integridad del sistema. La naturaleza pública de la vulnerabilidad y la facilidad de explotación la convierten en un riesgo significativo para las organizaciones que utilizan School Management Software.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas. La vulnerabilidad se publicó el 2025-01-24. La disponibilidad de un PoC público facilita la explotación por parte de atacantes con conocimientos técnicos básicos.
Schools and educational institutions using CampCodes School Management Software versions 1.0 to 1.0 are at risk. Organizations that rely on this software to manage student data or sensitive information are particularly vulnerable. Shared hosting environments where multiple websites share the same server resources could also be affected if one website is compromised.
• wordpress / composer / npm:
grep -r "Notice = [^\" >]*" /var/www/campcodes/• generic web:
curl -I http://your-campcodes-server.com/notice-list?Notice=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.22% (45% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-0710 es actualizar School Management Software a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de Web Application Firewall (WAF) para filtrar las solicitudes que contienen código JavaScript malicioso. Además, se pueden implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando el archivo /notice-list y asegurándose de que las entradas de usuario se validan correctamente.
Actualizar a una versión parcheada del software de gestión escolar proporcionada por el proveedor. Si no hay una actualización disponible, desinfectar las entradas del usuario en la página /notice-list para evitar la ejecución de código JavaScript malicioso. Implementar validación y codificación de salida para el parámetro 'Notice'.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0710 is a cross-site scripting (XSS) vulnerability affecting CampCodes School Management Software versions 1.0 through 1.0, allowing attackers to inject malicious scripts.
You are affected if you are using CampCodes School Management Software version 1.0 or 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the 'Notice' argument.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Active exploitation has not been confirmed.
Refer to the CampCodes website or contact their support team for the official advisory regarding CVE-2025-0710.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.