Plataforma
php
Componente
tutorial
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Client Details System versión 1.0. Esta vulnerabilidad, presente en una función desconocida del archivo /admin/manage-users.php, permite a un atacante inyectar código malicioso en las páginas web vistas por otros usuarios. La actualización a la versión 1.0.1 resuelve esta vulnerabilidad. La vulnerabilidad es explotable de forma remota.
Un atacante puede aprovechar esta vulnerabilidad de XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario con privilegios para acceder a la página /admin/manage-users.php. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web para engañar al usuario. La ejecución de código en el contexto del usuario podría permitir el acceso a información sensible o la manipulación de la aplicación. La disponibilidad de un Proof of Concept (PoC) público aumenta significativamente el riesgo de explotación.
Esta vulnerabilidad es de baja severidad según el CVSS, pero la disponibilidad de un PoC público la convierte en un riesgo significativo. No se ha reportado explotación activa en campañas conocidas, pero la facilidad de explotación podría llevar a ataques oportunistas. La vulnerabilidad fue publicada el 2025-10-27.
Administrators and users with access to the /admin/manage-users.php page are at the highest risk. Organizations using Client Details System 1.0 in production environments, particularly those without robust input validation and output encoding practices, are also vulnerable. Shared hosting environments where multiple users share the same server instance are at increased risk due to the potential for cross-tenant exploitation.
• php / web:
curl -I 'http://your-server.com/admin/manage-users.php?param=<script>alert(1)</script>' | grep -i 'content-type'• php / web: Examine /admin/manage-users.php for unescaped user input used in output.
• generic web: Monitor access logs for unusual requests to /admin/manage-users.php with suspicious parameters.
disclosure
poc
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el sistema Client Details System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el archivo /admin/manage-users.php. Implementar una Web Application Firewall (WAF) con reglas para bloquear scripts XSS también puede ayudar a mitigar el riesgo. Revise los logs del servidor en busca de patrones sospechosos de inyección de código.
Actualizar a una versión parcheada del software. Si no hay una versión disponible, revisar el código en /admin/manage-users.php y aplicar las medidas de seguridad necesarias para evitar la inyección de código malicioso a través de la entrada de usuarios. Escapar o sanitizar las entradas de usuario antes de mostrarlas en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12282 is a cross-site scripting (XSS) vulnerability in Client Details System 1.0 that allows remote attackers to inject malicious scripts via the /admin/manage-users.php file.
You are affected if you are running Client Details System version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the /admin/manage-users.php page.
A public proof-of-concept is available, suggesting a potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the Client Details System vendor's website or security advisory page for the official advisory regarding CVE-2025-12282.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.