Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Park Ticketing System, específicamente en la versión 1.0. Esta vulnerabilidad reside en la función 'savepricing' del archivo 'adminclass.php' y permite la inyección de scripts maliciosos a través de la manipulación del argumento 'name/ride'. La explotación puede ser realizada de forma remota y ya ha sido divulgada públicamente, lo que aumenta el riesgo de ataques.
Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar código JavaScript malicioso en la página web del sistema Park Ticketing System. Esto podría permitir al atacante robar cookies de sesión de usuarios autenticados, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web para engañar a los usuarios. El impacto se amplifica si el sistema se utiliza para procesar pagos o información sensible, ya que un atacante podría interceptar datos confidenciales. La naturaleza remota de la explotación facilita su propagación y aumenta el riesgo de ataques a gran escala.
Esta vulnerabilidad ha sido divulgada públicamente, lo que significa que existen pruebas de concepto disponibles que facilitan su explotación. Aunque la severidad se clasifica como Baja (CVSS 2.4), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios la convierten en una preocupación. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad de PoCs aumenta el riesgo de ataques oportunistas.
Administrators and users of Campcodes Park Ticketing System version 1.0 are at risk. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.
• generic web: Use curl to test the admin_class.php endpoint with crafted payloads containing <script>alert(1)</script> in the name or ride parameters. Monitor access logs for suspicious requests containing similar patterns.
curl 'http://example.com/admin_class.php?name=<script>alert(1)</script>&ride=test'• php: Examine the adminclass.php file for the savepricing function. Look for missing or inadequate input validation and output encoding of the name and ride parameters. Review the application's overall security configuration for potential weaknesses.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión parcheada del sistema Park Ticketing System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y el saneamiento riguroso de todas las entradas de usuario, especialmente los argumentos 'name/ride'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Monitorear los registros de acceso y error del servidor en busca de actividades inusuales también puede ayudar a detectar y prevenir ataques.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la ejecución de código XSS. Validar y limpiar las entradas del usuario en la función save_pricing del archivo admin_class.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15214 is a cross-site scripting (XSS) vulnerability affecting Campcodes Park Ticketing System version 1.0, allowing attackers to inject malicious scripts.
If you are using Campcodes Park Ticketing System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of Campcodes Park Ticketing System. Until then, implement input validation and output encoding.
A proof-of-concept exploit is publicly available, indicating a high probability of active exploitation.
Please refer to the Campcodes website or security channels for the official advisory regarding CVE-2025-15214.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.