Plataforma
php
Componente
webray.com.cn
Corregido en
638.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo advtext de baowzh hfly. Esta falla permite a un atacante inyectar scripts maliciosos en páginas web vistas por otros usuarios, comprometiendo potencialmente la confidencialidad e integridad de la información. La vulnerabilidad afecta a versiones hasta 638.0.1 y se puede explotar de forma remota. Una solución es actualizar a la versión 638.0.1.
La vulnerabilidad XSS en el módulo advtext de baowzh hfly permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el secuestro completo de la cuenta del usuario. Dado que la explotación ya ha sido divulgada públicamente, el riesgo de ataques es significativo. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de administración del sistema, permitiéndole tomar el control total de la aplicación.
La vulnerabilidad CVE-2025-14519 ha sido divulgada públicamente y existe una prueba de concepto disponible, lo que aumenta significativamente el riesgo de explotación. La falta de respuesta por parte del proveedor sugiere que no se han tomado medidas proactivas para mitigar el riesgo. La probabilidad de explotación se considera alta debido a la disponibilidad de la prueba de concepto y la naturaleza crítica de la vulnerabilidad XSS.
Administrators of baowzh hfly installations are at the highest risk, as the vulnerability is triggered through an administrative interface. Users with access to modify the advtext Module configuration are also potentially vulnerable. Shared hosting environments running baowzh hfly could expose multiple users to this risk.
• php: Examine access logs for requests to /admin/index.php/advtext/add containing unusual characters or patterns in the request parameters. Use grep to search for suspicious input.
grep -i 'script|alert|onerror' /var/log/apache2/access.log• generic web: Use curl to test the /admin/index.php/advtext/add endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>).
curl -X POST -d '<script>alert("XSS")</script>' http://your-baowzh-hfly-instance/admin/index.php/advtext/adddisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el módulo advtext a la versión 638.0.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sistema antes de aplicar la actualización. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para filtrar las solicitudes HTTP que contengan código JavaScript malicioso. Además, revise los registros de acceso y error del servidor en busca de patrones sospechosos que puedan indicar un intento de explotación. Después de la actualización, verifique la integridad del módulo advtext para confirmar que la vulnerabilidad ha sido resuelta.
Actualizar el módulo advtext a una versión parcheada que corrija la vulnerabilidad XSS. Si no hay una versión disponible, deshabilitar el módulo o aplicar un parche manualmente para escapar o sanitizar las entradas del usuario en el archivo /admin/index.php/advtext/add.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14519 is a cross-site scripting (XSS) vulnerability in baowzh hfly, allowing attackers to inject malicious scripts. It affects versions up to 638.0.1 and can be exploited remotely.
If you are running baowzh hfly version 638.0.1 or earlier, you are potentially affected by this vulnerability. Assess your deployment and upgrade as soon as possible.
Upgrade to version 638.0.1 or later to remediate the vulnerability. Implement input validation and output encoding as a temporary workaround if upgrading is not immediately possible.
A public proof-of-concept exists, indicating a potential for active exploitation. Monitor your systems for suspicious activity.
Due to the vendor's lack of response, an official advisory may not be available. Monitor security news sources and vulnerability databases for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.