Plataforma
php
Componente
cve-2025-x
Corregido en
1.0.1
Se ha identificado una vulnerabilidad problemática en Job Recruitment, específicamente en las versiones 1.0 a 1.0. Esta vulnerabilidad, clasificada como Cross-Site Scripting (XSS), afecta al archivo /parse/loaduser-profile.php. La explotación exitosa permite a un atacante inyectar scripts maliciosos en el sitio web, comprometiendo potencialmente la seguridad de los usuarios. La versión 1.0.1 ya ha sido publicada para solucionar este problema.
La vulnerabilidad XSS en Job Recruitment permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. Dado que la vulnerabilidad se encuentra en el archivo de carga de perfiles de usuario, un atacante podría comprometer cuentas de usuario al inyectar código malicioso que robe credenciales o realice acciones en nombre del usuario. La naturaleza remota de la explotación significa que cualquier usuario que visite una página web vulnerable podría verse afectado.
Esta vulnerabilidad fue publicada el 12 de febrero de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques oportunistas. La baja puntuación CVSS (3.5) indica un riesgo relativamente bajo, pero la facilidad de explotación requiere atención. No se ha añadido a KEV al momento de la redacción.
Organizations utilizing code-projects Job Recruitment version 1.0 and 1.0 are at risk. This includes businesses using the application for recruitment processes, particularly those with sensitive applicant data. Shared hosting environments where Job Recruitment is installed are also at increased risk due to potential cross-tenant vulnerabilities.
• php / web:
grep -r "load_user-profile.php" /var/www/html/• generic web:
curl -I http://your-job-recruitment-site.com/_parse/load_user-profile.php | grep -i "X-Powered-By"disclosure
Estado del Exploit
EPSS
0.28% (51% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1190 es actualizar Job Recruitment a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /parse/loaduser-profile.php. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts también puede ayudar a reducir el riesgo. Revise los logs del servidor en busca de patrones sospechosos de inyección de código.
Actualizar a una versión parcheada o aplicar las medidas de seguridad proporcionadas por el proveedor. Escapar o limpiar las entradas de usuario en `/parse/load_user-profile.php` para prevenir la inyección de código malicioso. Validar y sanitizar todos los parámetros de entrada para evitar ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1190 is a cross-site scripting (XSS) vulnerability affecting Job Recruitment versions 1.0 through 1.0, allowing attackers to inject malicious scripts.
Yes, if you are using Job Recruitment version 1.0 or 1.0, you are affected by this vulnerability and should upgrade immediately.
Upgrade Job Recruitment to version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding.
No active exploitation has been confirmed at this time, but prompt remediation is still recommended.
Refer to the code-projects website or security mailing lists for the official advisory regarding CVE-2025-1190.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.