Plataforma
php
Componente
critical-security-vulnerability-report-stored-xss
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el Student Information System versión 1.0. Esta falla permite a un atacante inyectar código malicioso a través de la manipulación de los parámetros firstname/lastname en el archivo /profile.php. El impacto potencial incluye el robo de información sensible del usuario y la redirección a sitios web maliciosos. La versión afectada es 1.0 y la solución es actualizar a la versión 1.0.1.
La vulnerabilidad XSS en Student Information System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página /profile.php con los parámetros manipulados. Esto podría resultar en el robo de cookies de sesión, permitiendo al atacante hacerse pasar por el usuario. Además, el atacante podría redirigir al usuario a un sitio web malicioso, comprometiendo aún más su seguridad. Dado que la explotación es pública, el riesgo de ataque es significativo y podría afectar a una gran cantidad de usuarios del sistema.
La vulnerabilidad CVE-2025-15052 es de baja severidad según CVSS. Existe un Proof of Concept (PoC) público disponible, lo que indica una alta probabilidad de explotación. La vulnerabilidad fue publicada el 2025-12-24 y se ha confirmado que es explotable. No se ha registrado en el KEV de CISA hasta la fecha.
Educational institutions and organizations utilizing the code-projects Student Information System version 1.0 are at risk. Specifically, those with publicly accessible instances of the system and those lacking robust input validation practices are particularly vulnerable.
• php / web:
grep -r "firstname|lastname" /profile.php• generic web:
curl -I http://your-student-info-system.com/profile.php?firstname=<script>alert(1)</script>• generic web:
curl -I http://your-student-info-system.com/profile.php?lastname=<img src=x onerror=alert(1)>disclosure
poc
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el Student Information System a la versión 1.0.1, que incluye la corrección de la falla XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /profile.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes con patrones de inyección XSS. Verifique la actualización instalando la versión 1.0.1 y confirmando que la manipulación de los parámetros firstname/lastname ya no resulta en la ejecución de scripts.
Actualice el Student Information System a una versión parcheada o implemente medidas de sanitización de entradas en el archivo /profile.php para evitar la ejecución de código XSS. Valide y escape las variables firstname y lastname antes de mostrarlas en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15052 is a cross-site scripting (XSS) vulnerability in Student Information System version 1.0, allowing attackers to inject malicious scripts via the firstname/lastname parameters in /profile.php.
If you are using Student Information System version 1.0, you are potentially affected. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the firstname and lastname parameters.
A public proof-of-concept exploit is available, suggesting a potential for active exploitation.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2025-15052.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.