Plataforma
php
Componente
cve-md
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en h3blog versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a una función desconocida dentro del archivo /admin/cms/category/addtitle y puede ser explotada de forma remota. Una actualización a la versión corregida es la solución recomendada.
Un atacante puede aprovechar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial es significativo, ya que un atacante podría comprometer cuentas de usuario, robar información confidencial, o incluso tomar el control de la aplicación. La disponibilidad de un PoC público aumenta el riesgo de explotación.
Esta vulnerabilidad tiene un puntaje CVSS de 3.5 (LOW), indicando una probabilidad de explotación relativamente baja. Sin embargo, la disponibilidad de un Proof of Concept (PoC) público significa que la vulnerabilidad es fácilmente explotable por atacantes con conocimientos técnicos básicos. La vulnerabilidad fue publicada el 14 de noviembre de 2025 y se recomienda monitorear su estado en el NVD y CISA para obtener actualizaciones.
Administrators and users of pojoin h3blog version 1.0 are at risk. Shared hosting environments that utilize this software are particularly vulnerable, as attackers may be able to exploit the vulnerability through other tenants on the same server. Users who haven't implemented robust input validation practices are also at increased risk.
• php / server:
grep -r "/admin/cms/category/addtitle" /var/www/html/*• generic web:
curl -I http://your-h3blog-site.com/admin/cms/category/addtitle | grep -i "x-xss-protection"disclosure
Estado del Exploit
EPSS
0.06% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar h3blog a la versión corregida tan pronto como esté disponible. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Monitorear los registros de acceso y error en busca de patrones inusuales también puede ayudar a detectar intentos de explotación.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código XSS en el campo Title al agregar una categoría.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13182 is a cross-site scripting (XSS) vulnerability in pojoin h3blog version 1.0, allowing attackers to inject malicious scripts via the Title argument in /admin/cms/category/addtitle.
If you are using pojoin h3blog version 1.0, you are potentially affected by this vulnerability. Upgrade to the latest version as soon as possible.
Upgrade to a patched version of pojoin h3blog. Consult the vendor's official advisory for the latest release. Implement input validation and output encoding as a temporary workaround.
A public proof-of-concept exists, suggesting a potential for active exploitation. Monitor your systems for suspicious activity.
Consult the pojoin website or security mailing lists for the official advisory regarding CVE-2025-13182.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.