Plataforma
php
Componente
vulnerabilities
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en CampCodes School Management Software, afectando a las versiones 1.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La versión 1.0.1 corrige esta vulnerabilidad, y se recomienda su aplicación inmediata.
La vulnerabilidad XSS en CampCodes School Management Software permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página /academic-calendar. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios, permitiéndole acceder a sus cuentas. La naturaleza remota de la explotación significa que cualquier usuario que acceda a la página vulnerable puede ser afectado, sin necesidad de interacción previa con el atacante.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad facilita su aprovechamiento. La vulnerabilidad fue publicada el 2025-02-10.
Schools and educational institutions utilizing CampCodes School Management Software versions 1.0-1.0 are at direct risk. Organizations relying on this software to manage student data and academic calendars should prioritize patching or implementing mitigation measures. Shared hosting environments where CampCodes is installed are particularly vulnerable, as a compromise could impact multiple tenants.
• php: Examine the /academic-calendar file for suspicious JavaScript code or unusual characters. Use grep to search for common XSS payloads (e.g., <script>, onload=).
grep -r '<script' /var/www/campcodes/academic-calendar• generic web: Monitor access logs for requests to /academic-calendar containing unusual parameters or payloads. Look for POST requests with suspicious data.
curl -s 'http://your-campcodes-server.com/academic-calendar?param=<script>alert(1)</script>' > /dev/null 2>&1disclosure
Estado del Exploit
EPSS
0.25% (48% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1159 es actualizar CampCodes School Management Software a la versión 1.0.1. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la página /academic-calendar. Implementar una Web Application Firewall (WAF) con reglas para bloquear scripts XSS conocidos también puede ayudar a mitigar el riesgo. Verifique que la configuración del servidor web no permita la ejecución de scripts en la página /academic-calendar.
Actualizar a una versión parcheada del software de gestión escolar de CampCodes. Si no hay una versión parcheada disponible, desinfectar todas las entradas del usuario en el archivo /academic-calendar para evitar la ejecución de código JavaScript malicioso. Considerar contactar al proveedor para obtener un parche.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1159 is a cross-site scripting vulnerability affecting CampCodes School Management Software versions 1.0-1.0, allowing attackers to inject malicious scripts via the /academic-calendar file.
If you are using CampCodes School Management Software version 1.0 or 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1 or later. As a temporary workaround, implement strict input validation and output encoding on the /academic-calendar endpoint.
While no active exploitation campaigns have been publicly reported, the vulnerability has been disclosed and may be targeted by opportunistic attackers.
Please refer to the CampCodes website or contact their support team for the official advisory regarding CVE-2025-1159.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.