Plataforma
php
Componente
online-class-and-exam-scheduling-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Online Class and Exam Scheduling System, específicamente en las versiones 1.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo /Scheduling/scheduling/pages/profile.php y se puede explotar remotamente. Una actualización a la versión 1.0.1 soluciona este problema.
La vulnerabilidad XSS en Online Class and Exam Scheduling System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web y, en última instancia, el acceso no autorizado a cuentas de usuario. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser visitado por un usuario, ejecute un script que robe sus credenciales de inicio de sesión. La falta de validación adecuada de la entrada del usuario en el parámetro 'username' es la causa raíz de esta vulnerabilidad, permitiendo la inyección de código malicioso.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas a la fecha. La disponibilidad de un PoC público facilita la explotación por parte de atacantes con diferentes niveles de habilidad. La fecha de publicación de la vulnerabilidad es 2025-03-04.
Educational institutions and organizations utilizing the Online Class and Exam Scheduling System are at risk, particularly those running version 1.0. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised user account could potentially be leveraged to attack other users on the same server.
• wordpress / composer / npm:
grep -r 'username' /Scheduling/scheduling/pages/profile.php• generic web:
curl -I http://your-server.com/Scheduling/scheduling/pages/profile.php?username=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-1955 es actualizar el sistema Online Class and Exam Scheduling System a la versión 1.0.1 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas del usuario en el lado del servidor y la codificación de la salida para prevenir la ejecución de scripts maliciosos. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Después de la actualización, confirme la mitigación revisando los registros del servidor en busca de intentos de inyección de scripts.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del parámetro 'username' en el archivo profile.php. Sanitizar las entradas del usuario es fundamental. Si no hay una versión parcheada disponible, considere deshabilitar o eliminar la funcionalidad vulnerable hasta que se pueda aplicar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1955 is a cross-site scripting (XSS) vulnerability in Online Class and Exam Scheduling System versions 1.0-1.0, allowing attackers to inject malicious scripts via the username parameter.
You are affected if you are using Online Class and Exam Scheduling System version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. If immediate upgrade is not possible, implement input validation and sanitization on the username parameter.
While no active campaigns are currently known, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the code-projects website or relevant security forums for the official advisory regarding CVE-2025-1955.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.