Plataforma
php
Componente
employee-management-xss
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Employee Profile Management System versión 1.0. Esta falla se manifiesta en el procesamiento del archivo /view_personnel.php, permitiendo a atacantes inyectar scripts maliciosos. La explotación es posible de forma remota y un Proof of Concept (PoC) ya está disponible públicamente, lo que aumenta el riesgo de ataques.
Un atacante puede aprovechar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial es la comprometer la confidencialidad e integridad de la información del usuario, así como la posibilidad de realizar ataques de phishing dirigidos. La disponibilidad del PoC público facilita la explotación por parte de atacantes con diversos niveles de habilidad.
Esta vulnerabilidad tiene un PoC público disponible, lo que indica una alta probabilidad de explotación. Aunque la severidad CVSS es LOW (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios la convierten en una preocupación. No se ha confirmado explotación activa en campañas conocidas al momento de la publicación, pero la disponibilidad del PoC aumenta significativamente el riesgo.
Organizations utilizing the Employee Profile Management System version 1.0, particularly those with publicly accessible instances or those lacking robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same server resources are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• generic web:
curl -I 'https://example.com/view_personnel.php?per_address=<script>alert(1)</script>' | grep -i 'content-type: text/html'• generic web:
curl 'https://example.com/view_personnel.php?per_address=<script>alert(1)</script>' | grep -o '<[^>]*>' | grep -q 'script'disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión corregida del Employee Profile Management System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /view_personnel.php. Implementar una Web Application Firewall (WAF) con reglas para bloquear inyecciones de scripts puede ayudar a mitigar el riesgo. Además, se recomienda revisar y endurecer las políticas de seguridad del servidor web para prevenir la ejecución de código malicioso.
Actualizar a una versión parcheada del sistema de gestión de perfiles de empleados. Contacte al proveedor para obtener una versión corregida o aplique las medidas de seguridad necesarias para evitar la inyección de código malicioso a través de los parámetros per_address, dr_school y other_school en el archivo view_personnel.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14194 is a cross-site scripting (XSS) vulnerability affecting Employee Profile Management System version 1.0, allowing attackers to inject malicious scripts via manipulated arguments in /view_personnel.php.
If you are using Employee Profile Management System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of the Employee Profile Management System. As a temporary workaround, implement input validation and output encoding on the vulnerable endpoint.
While no confirmed exploitation campaigns are currently known, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the official Employee Profile Management System website or security announcements for the latest advisory regarding CVE-2025-14194.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.