Plataforma
php
Componente
cve2
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Wazifa System versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al procesamiento del archivo /Profile.php y se ha publicado públicamente el 12 de febrero de 2025. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Wazifa System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial, o realizar acciones en nombre del usuario. El impacto es limitado por la clasificación CVSS de 3.5 (LOW), pero la facilidad de explotación y la posibilidad de robo de credenciales hacen que sea una preocupación significativa.
Esta vulnerabilidad ha sido divulgada públicamente y puede ser explotada remotamente. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad aumenta el riesgo de explotación. La vulnerabilidad se encuentra en el archivo /Profile.php, lo que sugiere que podría ser explotada a través de formularios o parámetros de URL. La vulnerabilidad ha sido publicada el 12 de febrero de 2025.
Organizations and individuals using Wazifa System versions 1.0 through 1.0 are at risk. This includes those who rely on the system for managing sensitive data or integrating it with other critical applications. Shared hosting environments where Wazifa System is installed are particularly vulnerable, as a compromise of one user's instance could potentially affect others.
• php / web: Examine access logs for requests to /Profile.php with unusual or suspicious values in the postcontent parameter. Use grep to search for JavaScript code within the application's output.
grep -i 'script src=' /var/log/apache2/access.log | grep /Profile.php• generic web: Use curl to test the /Profile.php endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>). Observe the response for signs of script execution.
curl -X POST -d "postcontent=<script>alert('XSS')</script>" http://example.com/Profile.phpdisclosure
Estado del Exploit
EPSS
0.27% (50% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1208 es actualizar Wazifa System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /Profile.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript malicioso. Verifique que la configuración de Wazifa System no permita la ejecución de scripts en el lado del cliente.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código XSS en el parámetro 'postcontent' del archivo '/Profile.php'. Validar y limpiar las entradas del usuario antes de mostrarlas en la página para prevenir la ejecución de scripts maliciosos. Si no hay una versión parcheada disponible, implementar una función de escape HTML en el código PHP para codificar los caracteres especiales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1208 is a cross-site scripting (XSS) vulnerability in Wazifa System versions 1.0–1.0, allowing attackers to inject malicious scripts via the /Profile.php file.
Yes, if you are using Wazifa System version 1.0 or 1.0, you are affected by this vulnerability and should upgrade immediately.
Upgrade Wazifa System to version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding on the /Profile.php endpoint.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the Wazifa System project's official website or security advisories for the most up-to-date information and guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.