Plataforma
php
Componente
extplorer
Corregido en
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.1.7
2.1.8
2.1.9
2.1.10
2.1.11
2.1.12
2.1.13
2.1.14
2.1.15
2.1.16
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en eXtplorer, afectando a las versiones desde 2.1.0 hasta 2.1.15. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en una función desconocida del manejador de archivos y puede ser explotada de forma remota. Se recomienda aplicar el parche 002def70b985f7012586df2c44368845bf405ab3 para solucionar este problema.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de una víctima que visite una página web comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible almacenada en el navegador. El impacto se amplifica si la aplicación eXtplorer se utiliza para gestionar archivos confidenciales o si se integra con otros sistemas críticos. Aunque la severidad CVSS es baja, la facilidad de explotación y el potencial de impacto en la experiencia del usuario justifican una respuesta inmediata.
La vulnerabilidad CVE-2025-13058 fue publicada el 12 de noviembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la publicación. La disponibilidad de un parche oficial indica que el proveedor es consciente del problema y está trabajando para mitigar el riesgo. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations and individuals using eXtplorer versions 2.1.0 through 2.1.15, particularly those hosting the application publicly or integrating it with other systems containing sensitive data, are at risk. Shared hosting environments where multiple users share the same eXtplorer instance are also particularly vulnerable.
• php / web: Examine access logs for suspicious requests containing JavaScript code within filenames or file paths.
grep -i 'script|onload|onerror' /var/log/apache2/access.log• php / web: Check eXtplorer configuration files for any custom code that might be vulnerable to XSS. • generic web: Use a WAF to monitor for XSS attack patterns targeting eXtplorer endpoints. Configure alerts for suspicious JavaScript payloads.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-13058 es aplicar el parche proporcionado por el proveedor: 002def70b985f7012586df2c44368845bf405ab3. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento estrictos de todas las entradas del usuario en el lado del servidor. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la vulnerabilidad al restringir las fuentes de JavaScript que se pueden ejecutar en el navegador. Monitorear los registros de la aplicación en busca de patrones sospechosos, como solicitudes inusuales o intentos de inyección de código, también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la corrección revisando los registros de auditoría y realizando pruebas de penetración.
Aplicar el parche identificado como 002def70b985f7012586df2c44368845bf405ab3 para solucionar la vulnerabilidad XSS. Se recomienda actualizar a una versión posterior a la 2.1.15 si hay una disponible que incluya la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13058 is a cross-site scripting (XSS) vulnerability affecting eXtplorer versions 2.1.0 through 2.1.15, allowing attackers to inject malicious scripts.
You are affected if you are using eXtplorer versions 2.1.0 to 2.1.15. Upgrade to the patched version immediately.
Apply the patch 002def70b985f7012586df2c44368845bf405ab3. Consider input validation and output encoding as additional measures.
Currently, there are no known public exploits or confirmed active exploitation campaigns for CVE-2025-13058.
Refer to the eXtplorer project's official website or security mailing list for the advisory related to CVE-2025-13058.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.