Plataforma
php
Componente
image-compressor-tool
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la herramienta Image Compressor Tool de SourceCodester, específicamente en las versiones 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al procesamiento del archivo /image-compressor/compressor.php y ha sido divulgada públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Image Compressor Tool permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un usuario y las envíe a un servidor controlado por el atacante. La explotación exitosa de esta vulnerabilidad podría comprometer la seguridad de la aplicación y la información sensible de los usuarios.
La vulnerabilidad CVE-2025-1169 ha sido divulgada públicamente el 11 de febrero de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad pública de la información sobre la vulnerabilidad aumenta el riesgo de explotación, por lo que se recomienda aplicar la mitigación lo antes posible. La vulnerabilidad se basa en la manipulación de parámetros en un archivo PHP, un patrón común en aplicaciones web.
Organizations using SourceCodester Image Compressor Tool in production environments, particularly those with user authentication or sensitive data handling, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially compromise other users through this vulnerability.
• php / server:
grep -r "/image-compressor/compressor.php" /var/log/apache2/access.log• generic web:
curl -I http://your-server.com/image-compressor/compressor.php?image=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.35% (58% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1169 es actualizar la herramienta Image Compressor Tool a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /image-compressor/compressor.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Verifique después de la actualización que la vulnerabilidad ha sido efectivamente resuelta revisando el código y realizando pruebas de penetración.
Actualice a una versión parcheada del software. Si no hay una versión disponible, filtre la entrada del parámetro 'image' en el archivo compressor.php para evitar la ejecución de código XSS. Considere deshabilitar la funcionalidad hasta que se publique una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1169 is a cross-site scripting (XSS) vulnerability in SourceCodester Image Compressor Tool versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'image' parameter in /image-compressor/compressor.php.
You are affected if you are using SourceCodester Image Compressor Tool version 1.0 or 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1 of SourceCodester Image Compressor Tool. If upgrading is not immediately possible, implement input validation and sanitization on the 'image' parameter.
While no confirmed active exploitation is currently reported, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Refer to the SourceCodester website or relevant security mailing lists for the official advisory regarding CVE-2025-1169.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.