Plataforma
php
Componente
cveee
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema de gestión de salones de belleza en línea Complete Online Beauty Parlor Management System, versiones 1.0. Esta vulnerabilidad reside en el archivo /admin/customer-list.php y permite la ejecución de scripts maliciosos a través de la manipulación del argumento 'Name'. La explotación puede iniciarse de forma remota y existe un Proof of Concept (PoC) disponible públicamente.
Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en la página /admin/customer-list.php. Esto podría permitir la suplantación de identidad de administradores, el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos o la modificación del contenido de la página. El impacto se amplifica si el administrador tiene privilegios elevados, ya que podría comprometer la integridad de toda la aplicación y los datos asociados. La disponibilidad de un PoC público aumenta significativamente el riesgo de explotación.
La vulnerabilidad CVE-2025-13484 se ha hecho pública el 20 de noviembre de 2025, y existe un Proof of Concept (PoC) disponible, lo que indica una alta probabilidad de explotación. La baja puntuación CVSS (2.4) sugiere que la explotación podría requerir una interacción del usuario o condiciones específicas, pero la disponibilidad del PoC reduce esa barrera. No se ha confirmado explotación activa a la fecha de publicación.
Administrators of Complete Online Beauty Parlor Management System version 1.0 are at direct risk. Shared hosting environments where multiple users share the same server and application instance are particularly vulnerable, as a compromised administrator account could impact all tenants.
• php / web:
curl -s -X POST "http://<target>/admin/customer-list.php?Name=<script>alert('XSS')</script>" | grep "alert('XSS')"• generic web:
curl -s -X POST "http://<target>/admin/customer-list.php?Name=<script>alert('XSS')</script>" | grep "alert('XSS')"disclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión corregida del sistema de gestión de salones de belleza en línea Complete Online Beauty Parlor Management System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario, especialmente el argumento 'Name'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Monitorear los logs de acceso y error en busca de patrones sospechosos también puede ayudar a detectar intentos de explotación.
Actualizar a una versión parcheada del sistema de gestión de salones de belleza. Si no hay una versión disponible, sanitizar las entradas del usuario, especialmente el argumento 'Name' en el archivo /admin/customer-list.php, para prevenir la ejecución de código XSS (Cross-Site Scripting). Contactar al proveedor para obtener un parche de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13484 is a cross-site scripting (XSS) vulnerability affecting Complete Online Beauty Parlor Management System version 1.0, allowing attackers to inject malicious scripts via the Name parameter in /admin/customer-list.php.
If you are running Complete Online Beauty Parlor Management System version 1.0, you are potentially affected by this vulnerability. Upgrade as soon as possible.
Upgrade to a patched version of Complete Online Beauty Parlor Management System. If upgrading is not immediately possible, implement a WAF rule to sanitize user input for the Name parameter.
While active exploitation is not confirmed, a public proof-of-concept exists, increasing the likelihood of exploitation.
Check the Campcodes website or relevant security forums for updates and advisories regarding CVE-2025-13484.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.