Plataforma
php
Corregido en
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.2.6
1.2.7
1.2.8
1.2.9
1.2.10
1.2.11
1.2.12
1.2.13
1.2.14
1.2.15
1.2.16
1.2.17
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en FoxCMS, afectando a las versiones desde 1.2.0 hasta 1.2.16. Esta falla reside en la función de agregar o editar productos, específicamente en el archivo app/admin/controller/Product.php. Un atacante puede explotar esta vulnerabilidad manipulando el argumento 'Title', permitiendo la inyección de código malicioso que se ejecuta en el navegador de otros usuarios.
La vulnerabilidad XSS en FoxCMS permite a un atacante inyectar scripts maliciosos en las páginas web de la aplicación. Esto puede resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. Dado que la explotación puede realizarse de forma remota, el riesgo es significativo, especialmente si la aplicación se utiliza para procesar información sensible o si tiene una gran base de usuarios. La publicación de un Proof of Concept (PoC) público aumenta la probabilidad de explotación y la necesidad de una mitigación inmediata.
La vulnerabilidad CVE-2025-12920 ha sido publicada con un PoC disponible, lo que indica una alta probabilidad de explotación. La falta de respuesta por parte del proveedor aumenta la preocupación. Aunque la CVSS score es baja (2.4), el impacto potencial de un ataque XSS puede ser significativo, especialmente en entornos donde la aplicación FoxCMS se utiliza para procesar información sensible o interactuar con usuarios no técnicos. Se recomienda monitorear activamente los sistemas afectados.
Organizations and individuals using FoxCMS versions 1.2.0 through 1.2.16 are at risk. This includes websites and applications built on FoxCMS, particularly those with user-generated content or where user input is not properly validated. Shared hosting environments using FoxCMS are also at increased risk due to the potential for cross-tenant exploitation.
• php / web:
grep -r "app/admin/controller/Product.php" /var/www/html/• php / web:
curl -I http://your-foxcms-site.com/admin/product/add | grep -i "X-XSS-Protection"• generic web:
curl -I http://your-foxcms-site.com/admin/product/add | grep -i "content-security-policy"disclosure
poc
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
La solución principal es actualizar FoxCMS a la versión 1.2.10 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la validación y el saneamiento rigurosos de todas las entradas de usuario, especialmente el campo 'Title'. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Monitorear los logs de la aplicación en busca de patrones sospechosos también puede ayudar a detectar y responder a ataques.
Actualice FoxCMS a la versión 1.2.17 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) en la función de edición de productos. La actualización se puede realizar descargando la última versión del sitio web oficial y reemplazando los archivos existentes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12920 is a cross-site scripting (XSS) vulnerability affecting FoxCMS versions 1.2.0 through 1.2.16, allowing attackers to inject malicious scripts.
You are affected if you are using FoxCMS versions 1.2.0 to 1.2.16. Check your version and upgrade immediately if vulnerable.
Upgrade FoxCMS to version 1.2.10 or later to resolve the vulnerability. Implement input validation as a temporary workaround.
A public proof-of-concept exists, indicating a high probability of active exploitation.
Due to lack of vendor response, an official advisory may not be available. Monitor security news sources and vulnerability databases for updates.
Vector CVSS
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.