Plataforma
php
Componente
bloodbanksystem_poc
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Blood Bank System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en las páginas web, potencialmente comprometiendo la confidencialidad e integridad de la información del usuario. La vulnerabilidad afecta al archivo /Blood/A-.php y se ha divulgado públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Blood Bank System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de acceso de los usuarios al sistema de gestión de la sangre. La divulgación pública de esta vulnerabilidad aumenta significativamente el riesgo de explotación, especialmente si el sistema está expuesto a Internet sin protecciones adecuadas.
La vulnerabilidad CVE-2025-1586 fue divulgada públicamente el 23 de febrero de 2025. Aunque la severidad CVSS es LOW (3.5), la divulgación pública y la relativa simplicidad de la explotación la convierten en un riesgo significativo. No se ha confirmado la explotación activa en campañas específicas, pero la disponibilidad de la divulgación pública aumenta la probabilidad de que sea explotada. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa.
Organizations utilizing the code-projects Blood Bank System, particularly those running version 1.0, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.
• php / web:
curl -s -X POST "http://your-blood-bank-system/Blood/A-.php?Bloodname=<script>alert(1)</script>" | grep "<script>alert(1)</script>"• generic web:
curl -I http://your-blood-bank-system/Blood/A-.php?Bloodname=<script>alert(1)</script>• generic web: Examine access logs for requests to /Blood/A-.php containing suspicious characters or script tags in the Bloodname parameter.
disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1586 es actualizar el Blood Bank System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /Blood/A-.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Después de la actualización, confirme la mitigación revisando los logs del servidor en busca de intentos de explotación de XSS.
Actualizar a una versión parcheada del sistema Blood Bank System. Si no hay una versión disponible, sanitizar la entrada 'Bloodname' para evitar la ejecución de código JavaScript malicioso. Implementar validación y codificación de salida para prevenir ataques XSS (Cross-Site Scripting).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1586 is a cross-site scripting (XSS) vulnerability in Blood Bank System versions 1.0 through 1.0, allowing attackers to inject malicious scripts via the Bloodname parameter in /Blood/A-.php.
You are affected if you are running Blood Bank System version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the Bloodname parameter.
There is no current indication of active exploitation campaigns, but a proof-of-concept exploit is likely available due to public disclosure.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2025-1586.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.