Plataforma
php
Componente
pkp-lib
Corregido en
3.3.1
3.4.1
3.5.1
3.3.1
3.4.1
3.5.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Public Knowledge Project OMP y OJS, afectando a las versiones 3.3.0, 3.4.0 y 3.5.0. Esta vulnerabilidad reside en el componente Payment Instructions Setting Handler, específicamente en el archivo paymentForm.tpl. La manipulación del argumento 'manualInstructions' puede permitir la ejecución de código malicioso en el navegador de un usuario.
Un atacante podría explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web de OMP o OJS. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página. El impacto potencial incluye la comprometer la confidencialidad e integridad de los datos de los usuarios y la reputación del sitio web. La ejecución de código arbitrario en el contexto del usuario podría permitir el acceso no autorizado a funcionalidades administrativas o la manipulación de datos críticos.
Esta vulnerabilidad fue publicada el 20 de noviembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques. La baja puntuación CVSS indica un riesgo menor, pero la facilidad de explotación requiere atención. No se ha añadido a KEV al momento de esta redacción.
Organizations and individuals using Public Knowledge Project OMP for publishing monographs and other scholarly works are at risk. This includes academic institutions, research organizations, and publishers who rely on OMP for their content management needs. Shared hosting environments where multiple OMP instances are hosted on the same server are particularly vulnerable, as a compromise of one instance could potentially affect others.
• php: Examine the plugins/paymethod/manual/templates/paymentForm.tpl file for unsanitized input handling of the manualInstructions variable. Search for instances where this variable is directly output to the page without proper encoding.
// Example of vulnerable code
echo $_GET['manualInstructions'];• generic web: Monitor access logs for unusual requests targeting the plugins/paymethod/manual/templates/paymentForm.tpl endpoint with potentially malicious parameters in the manualInstructions query string. Use a WAF to block requests containing suspicious JavaScript code.
grep "<script" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 3.5.1 de OMP o OJS, que incluye la corrección. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el argumento 'manualInstructions'. Monitorear los registros del servidor en busca de intentos de inyección de código también puede ayudar a detectar y prevenir ataques.
Actualice Public Knowledge Project omp/ojs a una versión posterior a 3.5.0. Esto solucionará la vulnerabilidad de cross-site scripting en el componente Payment Instructions Setting Handler. Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13469 is a cross-site scripting (XSS) vulnerability affecting Public Knowledge Project OMP versions 3.3.0 through 3.5.0, allowing attackers to inject malicious scripts.
You are affected if you are running Public Knowledge Project OMP versions 3.3.0, 3.4.0, or 3.5.0. Upgrade to 3.5.1 or later to resolve the issue.
Upgrade to Public Knowledge Project OMP version 3.5.1 or later. Consider input validation and WAF rules as interim measures.
While no active exploitation has been confirmed, the ease of exploitation suggests it could become a target. Proactive mitigation is recommended.
Refer to the Public Knowledge Project security advisories page for the latest information: [https://security.pkp.org/](https://security.pkp.org/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.