Plataforma
php
Componente
j0hn_upload_six
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Real Estate Property Management System, específicamente en la versión 1.0 y 1.0. Esta vulnerabilidad afecta la funcionalidad del archivo /Admin/CustomerReport.php, permitiendo la inyección de scripts maliciosos a través de la manipulación del parámetro 'Address'. La actualización a la versión 1.0.1 resuelve este problema.
Un atacante podría explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario con privilegios para acceder a la página /Admin/CustomerReport.php. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto es significativo, ya que permite la ejecución de código en el contexto del usuario autenticado, lo que podría comprometer la integridad y confidencialidad de los datos del sistema. La divulgación pública de la vulnerabilidad aumenta el riesgo de explotación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. Aunque la severidad se clasifica como baja (CVSS 3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se han reportado campañas de explotación activas conocidas al momento de la publicación, pero la divulgación pública aumenta el riesgo.
Organizations utilizing the Real Estate Property Management System, particularly those with administrative interfaces accessible over the internet, are at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromised user account could potentially impact other users on the same server.
• php: Examine the /Admin/CustomerReport.php file for improper input validation or output encoding of the 'Address' parameter. Search for instances where user-supplied data is directly inserted into HTML without sanitization.
• generic web: Monitor access logs for requests to /Admin/CustomerReport.php containing unusual or suspicious characters in the 'Address' parameter (e.g., <script>, <img src=x onerror=alert(1)>).
• generic web: Use curl to test the endpoint with various payloads: curl 'http://example.com/Admin/CustomerReport.php?Address=<script>alert(1)</script>' and observe the response for signs of script execution.
disclosure
Estado del Exploit
EPSS
0.29% (52% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el sistema a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario, especialmente el parámetro 'Address'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro 'Address'. Verificar que la actualización se haya aplicado correctamente revisando la versión del sistema después de la instalación.
Actualizar a una versión parcheada del sistema de gestión de propiedades. Si no hay una versión disponible, sanitizar la entrada del parámetro 'Address' en el archivo /Admin/CustomerReport.php para evitar la ejecución de código JavaScript malicioso. Utilizar funciones de escape específicas para XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1171 is a cross-site scripting (XSS) vulnerability in the Real Estate Property Management System, affecting versions 1.0–1.0. It allows attackers to inject malicious scripts via the /Admin/CustomerReport.php file.
You are affected if you are using Real Estate Property Management System version 1.0 or 1.0. Upgrade to version 1.0.1 or later to mitigate the risk.
Upgrade to version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding on the 'Address' parameter in /Admin/CustomerReport.php.
As of the publication date, there are no confirmed reports of active exploitation campaigns targeting CVE-2025-1171.
Refer to the vendor's official website or security advisory channels for the Real Estate Property Management System for the latest information and updates regarding CVE-2025-1171.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.