Plataforma
php
Componente
j0hn_upload_one
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en Job Recruitment versión 1.0. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a versiones 1.0 a 1.0 y ha sido corregida en la versión 1.0.1.
Un atacante puede explotar esta vulnerabilidad manipulando el parámetro businessstreamname o companywebsiteurl en el archivo /parse/loadjob-details.php. Esto permite la ejecución de scripts maliciosos en el navegador de la víctima, lo que podría resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos o la modificación del contenido de la página. El impacto puede variar desde la simple visualización de mensajes emergentes hasta el acceso completo a la cuenta del usuario, dependiendo de los permisos de la aplicación y la sensibilidad de los datos que maneja. La divulgación pública de esta vulnerabilidad aumenta significativamente el riesgo de explotación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la puntuación CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad lo antes posible. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la divulgación pública facilita la creación de exploits y su uso por parte de atacantes.
Organizations utilizing Job Recruitment version 1.0, particularly those with publicly accessible job posting interfaces, are at risk. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• php / web:
grep -r "load_job-details.php" /var/www/html/• php / web:
curl -I http://your-job-recruitment-site.com/_parse/load_job-details.php?business_stream_name=<script>alert(1)</script>• generic web:
curl -I http://your-job-recruitment-site.com/_parse/load_job-details.php?company_website_url=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.0.1 de Job Recruitment, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /parse/loadjob-details.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Monitorear los registros de acceso en busca de patrones sospechosos, como solicitudes con caracteres inusuales en los parámetros businessstreamname o companywebsiteurl, también puede ayudar a detectar intentos de explotación.
Actualizar a una versión parcheada o aplicar una solución que filtre o escape correctamente las entradas de los parámetros 'business_stream_name' y 'company_website_url' en el archivo '/_parse/load_job-details.php' para prevenir la inyección de código XSS. Validar y limpiar las entradas del usuario es crucial. Si no hay una versión parcheada disponible, considere deshabilitar o eliminar la funcionalidad afectada hasta que se pueda aplicar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-0961 is a cross-site scripting (XSS) vulnerability in Job Recruitment version 1.0, affecting the /parse/loadjob-details.php file. It allows attackers to inject malicious scripts.
You are affected if you are using Job Recruitment version 1.0 and have not upgraded to version 1.0.1. The vulnerability resides in the /parse/loadjob-details.php file.
Upgrade Job Recruitment to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the affected parameters.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation. Prompt remediation is recommended.
Refer to the official Job Recruitment project website or repository for the advisory related to CVE-2025-0961.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.