Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Bookstore Management System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la página web, comprometiendo potencialmente la seguridad de los usuarios. La vulnerabilidad afecta al archivo processbookadd.php y se ha publicado públicamente, lo que aumenta el riesgo de explotación. La solución recomendada es actualizar a la versión 1.0.1.
La vulnerabilidad XSS en Bookstore Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página web comprometida. Esto puede resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser clickeado, ejecute un script que robe las credenciales de acceso del usuario. El impacto se amplifica si el sistema se utiliza para gestionar información sensible, como datos de clientes o información financiera, ya que un atacante podría acceder a esta información confidencial. La divulgación pública de la vulnerabilidad aumenta significativamente el riesgo de explotación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que significa que existe una alta probabilidad de que sea explotada. Aunque la CVSS score es baja (2.4), el impacto potencial puede ser significativo si el sistema se utiliza para gestionar información sensible. No se han reportado campañas de explotación activas conocidas a la fecha de publicación, pero la disponibilidad pública de la vulnerabilidad aumenta el riesgo. La vulnerabilidad se encuentra en un componente web, lo que la hace accesible a través de la red.
Organizations using the Bookstore Management System version 1.0, particularly those with publicly accessible instances, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a successful exploit could potentially impact other users on the same server.
• php: Examine the processbookadd.php file for unsanitized input handling of the 'Book Name' parameter. Look for instances where user input is directly outputted to the page without proper encoding.
// Example of vulnerable code
<?php
echo $_POST['book_name']; // Vulnerable to XSS
?>• generic web: Monitor access logs for unusual requests targeting processbookadd.php with suspicious parameters in the 'Book Name' field. Look for patterns indicative of XSS payloads.
• generic web: Check response headers for the presence of injected JavaScript code. Use browser developer tools to inspect the rendered HTML and identify any unexpected scripts.
disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1174 es actualizar el Bookstore Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo processbookadd.php. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Verifique después de la actualización que el parámetro 'Book Name' se valida correctamente y que los scripts inyectados no se ejecutan.
Actualice el sistema Bookstore Management System a una versión parcheada o implemente medidas de sanitización de entrada en el archivo process_book_add.php, especialmente para el parámetro Book Name. Escapar o validar la entrada del usuario antes de mostrarla en la página web evitará la ejecución de código XSS. Considere también aplicar un filtro de entrada para eliminar o codificar caracteres especiales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1174 is a cross-site scripting (XSS) vulnerability affecting versions 1.0 of the Bookstore Management System. It allows attackers to inject malicious scripts through the 'Book Name' parameter in processbookadd.php.
You are affected if you are using Bookstore Management System version 1.0. Upgrade to version 1.0.1 to mitigate the vulnerability.
The recommended fix is to upgrade to version 1.0.1. Alternatively, implement input validation and output encoding on the 'Book Name' parameter.
While no active exploitation has been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the vendor's official website or security advisory channels for the Bookstore Management System for the latest information and updates regarding CVE-2025-1174.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.