Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Complete Online Beauty Parlor Management System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad y la integridad de los datos del usuario. La vulnerabilidad reside en el archivo /admin/search-invoices.php y se activa mediante la manipulación del parámetro 'searchdata'. La solución recomendada es actualizar a una versión corregida o implementar medidas de seguridad adicionales.
La vulnerabilidad XSS en Complete Online Beauty Parlor Management System permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial o realizar acciones en nombre del usuario afectado. La naturaleza remota de la explotación aumenta el riesgo, ya que no requiere interacción directa del usuario más allá de visitar la página comprometida. La falta de validación de entrada en el parámetro 'searchdata' es la causa raíz de esta vulnerabilidad.
Esta vulnerabilidad ha sido públicamente divulgada, lo que aumenta el riesgo de explotación. Aunque la CVSS score es baja (2.4), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se dispone de información sobre campañas de explotación activas o su inclusión en el KEV de CISA al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Administrators and users with access to the administrative interface of the Complete Online Beauty Parlor Management System are at the highest risk. Organizations using this system to manage sensitive customer data, such as appointment schedules or payment information, are particularly vulnerable. Shared hosting environments where multiple users share the same server instance could also be affected, as a compromise of one user could potentially lead to the compromise of others.
• php / web:
curl -I 'http://your-target-domain.com/admin/search-invoices.php?searchdata=<script>alert("XSS")</script>' | grep -i 'XSS'• generic web:
grep -i 'searchdata' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-15188 es actualizar a una versión corregida del Complete Online Beauty Parlor Management System. Si la actualización no es inmediatamente posible, se recomienda implementar validación de entrada robusta en el parámetro 'searchdata' para prevenir la inyección de código malicioso. Esto puede incluir el uso de funciones de escape adecuadas para el contexto de salida (HTML escaping) y la aplicación de una lista blanca de caracteres permitidos. Además, se recomienda implementar una política de seguridad de contenido (CSP) para restringir las fuentes de scripts que pueden ejecutarse en la página web. Verifique después de la implementación que el parámetro 'searchdata' se valida correctamente y que no se pueden inyectar scripts maliciosos.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la vulnerabilidad XSS. Validar y limpiar las entradas del usuario, especialmente el parámetro 'searchdata' en el archivo '/admin/search-invoices.php'.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15188 is a cross-site scripting vulnerability affecting the /admin/search-invoices.php file in Complete Online Beauty Parlor Management System version 1.0, allowing remote attackers to inject malicious scripts.
If you are using Complete Online Beauty Parlor Management System version 1.0, you are potentially affected by this vulnerability and should implement mitigation strategies immediately.
A patch is not yet available. Implement input validation and sanitization on the searchdata parameter and consider using a WAF to mitigate the risk.
While no active campaigns are confirmed, the vulnerability has been publicly disclosed and may be exploited, so proactive mitigation is essential.
Check the Campcodes website or relevant security forums for updates and advisories regarding CVE-2025-15188.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.