Plataforma
php
Componente
online-courseware
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en SourceCodester Online Courseware, afectando a las versiones 1.0 y 1.0. Esta vulnerabilidad reside en el archivo /pcci/admin/saveeditt.php, específicamente en la manipulación del argumento 'fname'. La explotación exitosa permite la ejecución de scripts maliciosos en el contexto del usuario autenticado, lo que puede comprometer la integridad y confidencialidad de los datos.
Un atacante puede aprovechar esta vulnerabilidad de XSS para inyectar scripts maliciosos en la página web de Online Courseware. Esto podría permitir el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial incluye el acceso no autorizado a cuentas de usuario, la propagación de malware, y la manipulación de datos sensibles. La naturaleza de XSS permite a un atacante comprometer la confianza del usuario en la plataforma y potencialmente obtener acceso a información confidencial.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la CVSS score es baja (2.4), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios hacen que sea importante abordar esta vulnerabilidad. No se han reportado campañas de explotación activas conocidas al momento de la publicación. La vulnerabilidad fue publicada el 2025-01-29.
Administrators and teachers using SourceCodester Online Courseware version 1.0 are at direct risk. Shared hosting environments where multiple users share the same instance of the software are particularly vulnerable, as an attacker could potentially compromise the entire hosting environment through this vulnerability.
• php / web:
curl -I 'http://your-online-courseware-site.com/pcci/admin/saveeditt.php?fname=<script>alert(1)</script>' | grep -i '200'• php / web: Examine /pcci/admin/saveeditt.php for missing or inadequate input sanitization of the 'fname' parameter.
• generic web: Monitor access logs for unusual requests to /pcci/admin/saveeditt.php with suspicious parameters in the 'fname' field.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-0800 es actualizar a la versión 1.0.1 de SourceCodester Online Courseware, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /pcci/admin/saveeditt.php. Implementar una Web Application Firewall (WAF) con reglas para bloquear inyecciones de scripts puede proporcionar una capa adicional de protección. Verifique que la configuración de PHP tenga habilitadas las funciones de protección contra XSS.
Actualice a una versión parcheada o desactive la funcionalidad Edit Teacher. Valide y escape las entradas del usuario en el parámetro 'fname' en el archivo saveeditt.php para prevenir la inyección de código malicioso. Implemente una política de seguridad de contenido (CSP) para mitigar los ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0800 is a cross-site scripting (XSS) vulnerability affecting SourceCodester Online Courseware versions 1.0–1.0, allowing attackers to inject malicious scripts via the /pcci/admin/saveeditt.php file.
You are affected if you are using SourceCodester Online Courseware version 1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1 or later. As a temporary workaround, implement input validation and sanitization on the 'fname' parameter.
No active exploitation campaigns have been confirmed as of the publication date, but public proof-of-concept code is likely to emerge.
Refer to the SourceCodester website or their official communication channels for the advisory related to CVE-2025-0800.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.