Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Campcodes Retro Basketball Shoes Online Store, afectando a la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo /admin/admin_running.php y se puede explotar remotamente. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación.
La vulnerabilidad XSS en Campcodes Retro Basketball Shoes Online Store permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los administradores al acceder a /admin/admin_running.php. La explotación exitosa de esta vulnerabilidad podría comprometer la información personal de los clientes y dañar la reputación de la tienda online.
Esta vulnerabilidad ha sido públicamente divulgada, lo que aumenta el riesgo de explotación. No se ha identificado una entrada en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. La probabilidad de explotación se considera moderada debido a la disponibilidad pública de la información sobre la vulnerabilidad y la relativa facilidad de explotación de las vulnerabilidades XSS. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
Administrators of Campcodes Retro Basketball Shoes Online Store installations, particularly those running version 1.0, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• php / web:
grep -r 'product_name' /var/www/campcodes/• generic web:
curl -I <target_url>/admin/admin_running.php?product_name=<script>alert(1)</script>• generic web:
grep -r 'admin_running.php' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata para CVE-2025-13412 implica la validación y el saneamiento exhaustivos de todas las entradas de usuario, especialmente el parámetro productname en el archivo /admin/adminrunning.php. Implementar una política de seguridad de contenido (CSP) estricta puede ayudar a mitigar el impacto de los scripts inyectados. Si la actualización a la versión corregida no es posible de inmediato, considere la implementación de un Web Application Firewall (WAF) para filtrar las solicitudes maliciosas. Además, revise los registros de acceso y error en busca de patrones sospechosos que puedan indicar un intento de explotación.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del parámetro product_name en el archivo admin_running.php. Validar y limpiar las entradas del usuario es crucial para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13412 is a cross-site scripting (XSS) vulnerability in Campcodes Retro Basketball Shoes Online Store version 1.0, allowing attackers to inject malicious scripts via the product_name parameter.
If you are running Campcodes Retro Basketball Shoes Online Store version 1.0, you are potentially affected by this vulnerability. Check with the vendor for a patch.
The recommended fix is to upgrade to a patched version of Campcodes Retro Basketball Shoes Online Store. Contact the vendor for an update.
While no active exploitation campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Please refer to the Campcodes website or contact their support team for the official advisory regarding CVE-2025-13412.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.