Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Real Estate Property Management System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento CategoryId en el archivo /Admin/EditCategory. La vulnerabilidad afecta a versiones 1.0 y 1.0, y se ha publicado una corrección en la versión 1.0.1.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría permitir al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o incluso modificar el contenido de la página web. El impacto potencial incluye el robo de información confidencial, la suplantación de identidad y la manipulación de datos. Dada la naturaleza de un sistema de gestión de propiedades inmobiliarias, la información sensible como datos de clientes, información financiera y detalles de propiedades podría estar en riesgo.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Si bien la puntuación CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se han reportado campañas de explotación activas conocidas a la fecha de publicación, pero la disponibilidad de la vulnerabilidad pública la convierte en un objetivo potencial para atacantes.
Organizations utilizing the Real Estate Property Management System, particularly those with publicly accessible administrative interfaces, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromised user could potentially exploit this vulnerability to affect other users on the same server.
• generic web: Use curl to test the /Admin/EditCategory endpoint with various malicious payloads in the CategoryId parameter. Monitor access logs for suspicious requests containing JavaScript code.
curl 'http://your-real-estate-system.com/Admin/EditCategory?CategoryId=<script>alert("XSS")</script>'• php: Examine the source code of /Admin/EditCategory for inadequate input validation or output encoding of the CategoryId parameter. Search for functions like htmlspecialchars or strip_tags that are not being used correctly.
• wordpress / composer / npm: N/A - This is a PHP application, not a WordPress plugin or Node.js project.
• database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly involve a database.
• linux / server: N/A - This vulnerability does not directly involve a server or Linux system.
• windows / supply-chain: N/A - This vulnerability does not directly involve a Windows system or supply chain.
disclosure
Estado del Exploit
EPSS
0.27% (50% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el sistema Real Estate Property Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /Admin/EditCategory. Además, se deben implementar políticas de seguridad de contenido (CSP) para restringir las fuentes de scripts que se pueden ejecutar en la página web. Monitorear los logs del servidor en busca de patrones de inyección de scripts también puede ayudar a detectar y responder a posibles ataques.
Actualizar a una versión parcheada del sistema de gestión de propiedades. Si no hay una versión parcheada disponible, sanitizar las entradas del parámetro CategoryId en el archivo /Admin/EditCategory para evitar la ejecución de código XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1195 is a cross-site scripting (XSS) vulnerability affecting versions 1.0–1.0 of the Real Estate Property Management System, allowing attackers to inject malicious scripts via the CategoryId parameter.
You are affected if you are using Real Estate Property Management System version 1.0–1.0 and have not upgraded to version 1.0.1 or later.
Upgrade to version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding on the CategoryId parameter.
While exploitation is not confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Monitor your systems closely.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2025-1195.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.