Plataforma
php
Componente
my-cve-reports
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema School Management System, específicamente en la página de edición de información del estudiante. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'Primer Nombre' en el archivo /student-view.php. La vulnerabilidad afecta a versiones hasta f1ac334bfd89ae9067cc14dea12ec6ff3f078c01, y un Proof of Concept (PoC) público ya está disponible. Se recomienda actualizar a la versión 1.0.1.
Un atacante puede explotar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario legítimo que visite la página afectada. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto se amplifica si el sistema School Management System se utiliza para gestionar información sensible de estudiantes, ya que un atacante podría acceder a datos personales o incluso realizar acciones en nombre del usuario. La disponibilidad de un PoC público aumenta significativamente el riesgo de explotación.
La vulnerabilidad CVE-2025-13795 ha sido divulgada públicamente y un PoC está disponible, lo que indica una alta probabilidad de explotación. Aunque la CVSS score es baja (2.4), la facilidad de explotación y la disponibilidad del PoC la convierten en una preocupación significativa. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad del PoC aumenta el riesgo de ataques oportunistas.
Educational institutions and organizations utilizing the codingWithElias School Management System are at risk, particularly those relying on the system to manage sensitive student data. Organizations with legacy configurations or those who have not implemented robust input validation practices are especially vulnerable.
• php: Examine /student-view.php for inadequate input validation on the 'First Name' parameter. Search for code that directly outputs user input without proper sanitization.
// Example of vulnerable code
<?php
echo $_GET['first_name']; ?>• generic web: Monitor access logs for requests to /student-view.php with suspicious parameters in the 'first_name' field, such as those containing HTML tags or JavaScript code.
grep 'first_name=<script' /var/log/apache2/access.log• generic web: Check response headers for signs of XSS payloads being reflected back to the user. Use browser developer tools to inspect the response and look for unexpected script tags.
disclosure
poc
patch
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el School Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Dado que el sistema utiliza un modelo de entrega continua, es crucial monitorear las actualizaciones y aplicar las correcciones tan pronto como estén disponibles.
Actualice a una versión parcheada del School Management System. Contacte al proveedor para obtener una versión corregida o aplique un parche que filtre la entrada del campo 'First Name' en el archivo /student-view.php para evitar la ejecución de código JavaScript malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13795 is a cross-site scripting (XSS) vulnerability affecting School Management System versions up to f1ac334bfd89ae9067cc14dea12ec6ff3f078c01, allowing attackers to inject malicious scripts.
If you are using School Management System versions prior to 1.0.1, you are potentially affected by this vulnerability. The system follows a rolling release, so confirm your version against the affected range.
Upgrade to version 1.0.1. If upgrading is not immediately possible, implement input validation and output encoding on the 'First Name' field in /student-view.php as a temporary workaround.
Yes, a public proof-of-concept exploit is available, indicating a high probability of active exploitation.
Refer to the codingWithElias website or their official communication channels for the advisory related to CVE-2025-13795.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.