Plataforma
php
Componente
vul
Corregido en
4.7.1
4.7.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en XunRuiCMS hasta las versiones 4.7.1. Esta vulnerabilidad afecta a la funcionalidad de validación de datos, específicamente en la página /admind45f74adbd95.php?c=field&m=add&rname=site&rid=1&page=1. La manipulación del parámetro data[name] puede permitir la ejecución de scripts maliciosos en el navegador de un usuario.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web de XunRuiCMS. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web. El impacto se amplifica si la aplicación se utiliza para procesar información sensible o si tiene acceso a sistemas internos. La divulgación pública de la vulnerabilidad aumenta el riesgo de explotación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que significa que existe una alta probabilidad de que sea explotada. Aunque el CVSS score es LOW, la facilidad de explotación y la disponibilidad de la información hacen que sea una preocupación significativa. No se ha confirmado explotación activa a la fecha de publicación, pero la falta de respuesta del proveedor aumenta la probabilidad de que se aproveche.
Organizations and individuals using XunRuiCMS versions 4.7.0 through 4.7.1 are at risk. Shared hosting environments where multiple users share the same XunRuiCMS installation are particularly vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability. Legacy configurations that haven't been regularly updated are also at increased risk.
• php / web server:
grep -r 'data[name]=[^>]*script' /var/www/html/admind45f74adbd95.php• web server:
curl -s 'http://your-xunruicms-site.com/admind45f74adbd95.php?c=field&m=add&rname=site&rid=1&page=1&data[name]=<script>alert("XSS")</script>' | grep 'alert("XSS")'• generic web:
Inspect web server access logs for requests to /admind45f74adbd95.php containing suspicious characters or patterns in the data[name] parameter, such as <script> or javascript:.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar XunRuiCMS a una versión corregida, si está disponible. Si la actualización no es posible de inmediato, se recomienda implementar validación y saneamiento rigurosos de la entrada del usuario en el parámetro data[name]. Esto puede incluir el uso de listas blancas para permitir solo caracteres seguros, o la codificación de la salida para evitar la ejecución de scripts. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de XSS también puede ayudar a mitigar el riesgo. Monitorear los logs de la aplicación en busca de patrones sospechosos de inyección de código es crucial.
Actualice XunRuiCMS a una versión posterior a la 4.7.1 para corregir la vulnerabilidad XSS. Si no es posible actualizar, revise y filtre las entradas del usuario en el archivo /admind45f74adbd95.php?c=field&m=add&rname=site&rid=1&page=1, especialmente el parámetro data[name], para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14006 is a cross-site scripting (XSS) vulnerability affecting XunRuiCMS versions 4.7.0-4.7.1, allowing attackers to inject malicious scripts into web pages.
You are affected if you are using XunRuiCMS versions 4.7.0 or 4.7.1 and have not upgraded to a patched version.
Upgrade XunRuiCMS to a version that includes a fix for this vulnerability. Until a patched version is released, implement input validation and output encoding as temporary workarounds.
Due to its public disclosure, CVE-2025-14006 is considered actively exploitable and may be targeted by attackers.
The vendor was contacted but did not respond. Check the XunRuiCMS website or relevant security forums for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.