Plataforma
php
Componente
cve2
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Wazifa System, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos a través de la manipulación de los argumentos firstname/lastname en el archivo /search_resualts.php. La actualización a la versión 1.0.1 resuelve este problema y mitiga el riesgo de explotación.
La vulnerabilidad XSS en Wazifa System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página afectada. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de inicio de sesión de los usuarios, comprometiendo así la seguridad de la aplicación y los datos asociados. El impacto potencial es moderado, ya que requiere interacción del usuario para que la explotación sea exitosa.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la puntuación CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se ha reportado su inclusión en KEV ni se han identificado campañas de explotación activas a la fecha de publicación.
Organizations and individuals using Wazifa System version 1.0 are at risk. Shared hosting environments where Wazifa System is deployed are particularly vulnerable, as attackers may be able to exploit the vulnerability through other tenants on the same server.
• php / web:
grep -r "firstname|lastname" /var/www/wazifasystem/search_resualts.php• generic web:
curl -I http://your-wazifa-system/search_resualts.php?firstname=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.27% (50% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1209 es actualizar Wazifa System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario en el archivo /search_resualts.php. Además, se pueden utilizar firewalls de aplicaciones web (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Después de la actualización, confirme la mitigación revisando los registros de la aplicación en busca de intentos de inyección de scripts.
Actualice a una versión parcheada o aplique las correcciones necesarias en el archivo `/search_resualts.php` para evitar la ejecución de código XSS. Escapa o sanitiza las entradas de los parámetros `firstname` y `lastname` antes de mostrarlas en la página web. Valide y filtre los datos de entrada para prevenir inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1209 is a cross-site scripting (XSS) vulnerability in Wazifa System 1.0, allowing attackers to inject malicious scripts via the firstname/lastname parameters in /search_resualts.php.
Yes, if you are running Wazifa System version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 or later to mitigate the risk.
Upgrade Wazifa System to version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding on the firstname and lastname parameters.
While no active campaigns are currently confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Refer to the Wazifa System project's official website or repository for the latest security advisories and updates related to CVE-2025-1209.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.