Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Blood Bank System versión 1.0. Esta falla permite a un atacante inyectar código JavaScript malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos de los usuarios. La vulnerabilidad afecta al archivo /prostatus.php y ha sido divulgada públicamente. La actualización a la versión 1.0.1 resuelve este problema.
La vulnerabilidad XSS en Blood Bank System permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que visite la página vulnerable. Esto puede llevar al robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. En un contexto de gestión de bancos de sangre, esto podría implicar el acceso no autorizado a información confidencial de pacientes, como tipos de sangre, historial médico, o datos de contacto. Un atacante podría también utilizar esta vulnerabilidad para realizar ataques de phishing dirigidos a usuarios legítimos del sistema, o para comprometer la integridad de los datos almacenados en la base de datos.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la severidad se clasifica como baja (CVSS 3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad lo antes posible. No se han reportado campañas de explotación activas conocidas al momento de la publicación, pero la disponibilidad de la divulgación pública podría facilitar la creación de exploits automatizados.
Organizations utilizing the Blood Bank System 1.0 and 1.0, particularly those with publicly accessible instances, are at risk. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromise of one application could potentially impact others.
• generic web: Use curl to test the /prostatus.php endpoint with a malicious payload (e.g., <script>alert('XSS')</script>).
curl 'http://your-blood-bank-system/prostatus.php?message=<script>alert("XSS")</script>'• generic web: Examine access and error logs for suspicious requests to /prostatus.php containing JavaScript code.
• php: Review the source code of /prostatus.php for inadequate input validation or output encoding of the 'message' parameter.
disclosure
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1577 es actualizar el Blood Bank System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /prostatus.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a ataques.
Actualizar a una versión parcheada o aplicar una solución para evitar la inyección de código malicioso en el parámetro 'message' del archivo '/prostatus.php'. Escapar o validar la entrada del usuario antes de mostrarla en la página web para prevenir la ejecución de scripts no deseados. Si no hay una versión parcheada disponible, considerar deshabilitar o eliminar la funcionalidad vulnerable.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1577 is a cross-site scripting (XSS) vulnerability in Blood Bank System versions 1.0 and 1.0, allowing attackers to inject malicious scripts via the /prostatus.php file.
If you are using Blood Bank System versions 1.0 or 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the 'message' parameter in /prostatus.php.
While no active campaigns have been confirmed, the vulnerability is publicly disclosed and a proof-of-concept is likely to emerge, increasing the risk of exploitation.
Refer to the Blood Bank System's official website or security advisory page for the latest information and updates regarding CVE-2025-1577.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.