Plataforma
php
Componente
report
Corregido en
10677743.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en php-business-website hasta la versión 10677743a8dfc281f85291a27cf63a0bce043c24. Esta falla afecta al código desconocido del archivo admin/contact.php, permitiendo la ejecución de scripts maliciosos a través de la manipulación del argumento 'twitter'. La vulnerabilidad puede ser explotada de forma remota y ya se ha publicado un Proof of Concept (PoC). El producto utiliza un modelo de lanzamiento continuo, por lo que no hay información de versión específica afectada.
Un atacante puede explotar esta vulnerabilidad XSS para inyectar scripts maliciosos en las páginas web de php-business-website. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. La ejecución remota de scripts maliciosos representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los datos y sistemas afectados. La publicación de un PoC aumenta la probabilidad de explotación y la necesidad de aplicar medidas correctivas de inmediato. La falta de información de versión específica dificulta la identificación precisa de las instalaciones vulnerables.
La vulnerabilidad CVE-2025-12224 ha sido publicada y un PoC está disponible, lo que indica una alta probabilidad de explotación. La falta de información de versión específica dificulta la evaluación precisa del riesgo, pero la disponibilidad de un PoC sugiere que la explotación es relativamente sencilla. Se recomienda monitorear los sistemas afectados en busca de signos de actividad maliciosa. La fecha de publicación es 2025-10-27.
Organizations using php-business-website in environments where user input is not properly validated and sanitized are at risk. Shared hosting environments where multiple users share the same instance of the application are particularly vulnerable, as an attacker could potentially compromise other users' accounts.
• php: Examine the admin/contact.php file for unsanitized use of the twitter parameter. Search for instances where user input is directly outputted without proper encoding.
• web: Monitor access logs for requests to admin/contact.php containing suspicious URL parameters or JavaScript code.
• generic web: Use a WAF to detect and block XSS payloads targeting the admin/contact.php endpoint. Look for patterns like <script> tags or javascript: URLs in requests.
grep -i '<script' /var/log/apache2/access.logdisclosure
poc
patch
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar php-business-website a la versión 10677743.0.1, que incluye la corrección para esta vulnerabilidad. Dado que el producto utiliza un modelo de lanzamiento continuo, se recomienda monitorear las actualizaciones y aplicar las correcciones tan pronto como estén disponibles. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para filtrar las solicitudes maliciosas que contienen scripts potencialmente peligrosos. Además, se recomienda revisar y endurecer la configuración del servidor web para minimizar la superficie de ataque.
Actualice a una versión parcheada del software php-business-website. Debido a que el proveedor no responde, revise el código fuente de admin/contact.php y filtre/escape la entrada del parámetro 'twitter' para evitar la inyección de código XSS. Considere deshabilitar o eliminar el componente si no se puede actualizar o parchear de forma segura.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12224 is a cross-site scripting (XSS) vulnerability in php-business-website versions up to 10677743a8dfc281f85291a27cf63a0bce043c24, allowing attackers to inject malicious scripts.
You are affected if you are using php-business-website versions prior to 10677743.0.1 and have not implemented mitigating controls.
Upgrade to php-business-website version 10677743.0.1 or later. Implement input validation and output encoding as a temporary workaround.
A public proof-of-concept exists, suggesting a potential for active exploitation.
Contact the vendor directly for the official advisory, as specific version information is not readily available due to the rolling release model.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.