Plataforma
php
Componente
student-grades-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Student Grades Management System de SourceCodester, afectando a las versiones 1.0 a 1.0. Esta vulnerabilidad reside en el procesamiento de archivos, específicamente en la página 'Add New Grade Page' a través del parámetro 'Remarks' en el archivo /grades.php. La explotación exitosa permite la ejecución de scripts maliciosos en el navegador de un usuario, comprometiendo la confidencialidad e integridad de la información. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar código JavaScript malicioso en la página /grades.php del Student Grades Management System. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página para engañar a los usuarios. El impacto potencial incluye el robo de información confidencial de los estudiantes y profesores, la manipulación de calificaciones, y la propagación de malware. Dado que la explotación es remota y el ataque ha sido divulgado públicamente, el riesgo de explotación es significativo.
Esta vulnerabilidad ha sido divulgada públicamente el 18 de noviembre de 2025, lo que aumenta significativamente el riesgo de explotación. Aunque no se ha reportado su inclusión en el KEV de CISA, la disponibilidad pública de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas para detectar signos de explotación.
Educational institutions and organizations utilizing the Student Grades Management System are at risk, particularly those relying on older, unpatched versions (1.0–1.0). Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially impact others.
• php: Examine the /grades.php file for inadequate input sanitization of the 'Remarks' parameter. Search for instances where user-supplied data is directly outputted to the HTML without proper encoding.
grep -r '$_GET["Remarks"]' /var/www/html/grades.php• generic web: Monitor access logs for unusual requests to /grades.php with suspicious parameters in the 'Remarks' field. Look for patterns indicative of XSS payloads.
grep "<script" /var/log/apache2/access.log | grep /grades.phpdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el Student Grades Management System a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /grades.php. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts también puede ayudar a mitigar el riesgo. Monitorear los registros de acceso y error en busca de patrones sospechosos, como solicitudes con caracteres inusuales en el parámetro 'Remarks', es crucial.
Actualice el sistema Student Grades Management System a una versión posterior a la 1.0, si existe, o aplique un parche que corrija la vulnerabilidad de Cross-Site Scripting (XSS) en el archivo grades.php. Valide y escape las entradas del usuario, especialmente el argumento 'Remarks', para evitar la inyección de código malicioso. Si no hay actualizaciones disponibles, considere deshabilitar o eliminar la funcionalidad vulnerable.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13349 is a cross-site scripting (XSS) vulnerability affecting Student Grades Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the /grades.php endpoint.
You are affected if you are using Student Grades Management System version 1.0 or 1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the 'Remarks' field in /grades.php.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Active exploitation is possible.
Refer to the SourceCodester website or relevant security forums for the official advisory regarding CVE-2025-13349.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.