Plataforma
php
Componente
-cve
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Interview Management System de SourceCodester, específicamente en la versión 1.0. Esta falla reside en la función desconocida del archivo /editQuestion.php y permite la manipulación del argumento 'Question', lo que puede llevar a la ejecución de código malicioso en el navegador de un usuario. La actualización a la versión 1.0.1 soluciona esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad XSS para inyectar scripts maliciosos en la página web del Interview Management System. Esto podría permitirles robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. El impacto potencial es significativo, ya que un atacante podría comprometer la confidencialidad e integridad de los datos del sistema y de los usuarios. La disponibilidad del exploit público aumenta el riesgo de explotación.
La vulnerabilidad CVE-2025-13343 ha sido publicada y un exploit público está disponible, lo que indica una alta probabilidad de explotación. La fecha de publicación (2025-11-18) sugiere que la vulnerabilidad es relativamente reciente. La disponibilidad de un exploit público aumenta significativamente el riesgo para los sistemas no parcheados.
Organizations utilizing SourceCodester Interview Management System, particularly those with publicly accessible instances or those lacking robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromise of one user's account could potentially impact others.
• php / web:
curl -I 'http://your-interview-system/editQuestion.php?Question=<script>alert(1)</script>' | grep -i 'content-type'• generic web:
curl -s 'http://your-interview-system/editQuestion.php?Question=<script>alert(1)</script>' | grep 'alert(1)'disclosure
poc
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el Interview Management System a la versión 1.0.1, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /editQuestion.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Verifique la integridad del archivo /editQuestion.php después de la actualización para confirmar que la corrección se aplicó correctamente.
Actualice a una versión parcheada o aplique el parche proporcionado por el proveedor. Desinfecte las entradas del usuario, especialmente el parámetro 'Question' en el archivo 'editQuestion.php', para evitar la inyección de código malicioso. Implemente validación y codificación de salida para mitigar el riesgo de XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13343 is a cross-site scripting (XSS) vulnerability affecting SourceCodester Interview Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the /editQuestion.php file.
You are affected if you are using SourceCodester Interview Management System version 1.0 or 1.0. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the 'Question' parameter.
A public proof-of-concept exploit is available, indicating a high likelihood of exploitation. Monitor your systems for suspicious activity.
Refer to the SourceCodester website or their official communication channels for the advisory related to CVE-2025-13343.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.