Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Real Estate Property Management System, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a la función desconocida del archivo /search.php y se ha solucionado en la versión 1.0.1.
La vulnerabilidad XSS en Real Estate Property Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un administrador y enviarlas a un servidor controlado por el atacante. La exposición pública de esta vulnerabilidad aumenta significativamente el riesgo de explotación, especialmente si el sistema se utiliza para gestionar información sensible de clientes o propiedades.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas en este momento. La divulgación pública, combinada con la baja puntuación CVSS, sugiere que la vulnerabilidad podría ser explotada por atacantes con conocimientos técnicos básicos.
Organizations utilizing the Real Estate Property Management System, particularly those with publicly accessible instances and limited input validation measures, are at risk. Shared hosting environments where multiple users share the same server resources are also particularly vulnerable, as a compromise of one user's account could potentially impact others.
• php / web:
grep -r "PropertyName" /var/www/html/search.php | grep -i "<script"• generic web:
curl -I https://example.com/search.php?PropertyName=<script>alert(1)</script> | grep -i "alert(1)"disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 del Real Estate Property Management System. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /search.php. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear ataques XSS también puede ayudar a reducir el riesgo. Monitorear los registros de acceso y error en busca de patrones sospechosos, como solicitudes con caracteres inusuales en el parámetro PropertyName, es crucial.
Actualice el sistema Real Estate Property Management System a una versión parcheada que solucione la vulnerabilidad XSS (Cross Site Scripting). Si no hay una versión disponible, revise y filtre las entradas del parámetro PropertyName en el archivo /search.php para evitar la inyección de código malicioso. Considere implementar medidas de seguridad adicionales como la codificación de salida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1196 is a cross-site scripting (XSS) vulnerability in Real Estate Property Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the PropertyName parameter in /search.php.
You are affected if you are using Real Estate Property Management System version 1.0 or 1.0. Check your version and upgrade immediately if vulnerable.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the PropertyName parameter in /search.php.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the code-projects website or relevant security forums for the official advisory regarding CVE-2025-1196.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.