Plataforma
php
Componente
xss1
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Blood Bank Management System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo /user_dashboard/donor.php y se explota mediante la manipulación del argumento 'name'. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante podría explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría permitir al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página web. El impacto potencial incluye el robo de información sensible, como datos personales de los donantes, y la manipulación de la funcionalidad del sistema de gestión de bancos de sangre. La ejecución de scripts maliciosos podría comprometer la integridad de los datos almacenados y la confianza en el sistema.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La puntuación CVSS de 3.5 (LOW) indica que, aunque la vulnerabilidad existe, la probabilidad de explotación es relativamente baja, pero el impacto potencial puede ser significativo. No se han reportado campañas de explotación activas conocidas a la fecha de publicación. La vulnerabilidad se encuentra en el índice de vulnerabilidades de la NVD (National Vulnerability Database) desde el 2025-03-05.
Administrators and users of the Blood Bank Management System are at risk. Specifically, organizations relying on this system for managing donor information and those with legacy configurations that haven't been regularly updated are particularly vulnerable. Shared hosting environments where multiple applications share the same server resources could also be affected if one application is compromised.
• php: Examine the /user_dashboard/donor.php file for improper input validation and output encoding of the 'name' parameter. Search for instances where user-supplied data is directly inserted into HTML without sanitization.
// Example of vulnerable code
<p>Donor Name: <?php echo $_GET['name']; ?></p>• generic web: Monitor access logs for unusual requests to /user_dashboard/donor.php with suspicious parameters in the 'name' field. Look for patterns indicative of XSS payloads (e.g., <script>).
grep -i '<script' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema Blood Bank Management System a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /user_dashboard/donor.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el argumento 'name'. Verifique después de la actualización que la vulnerabilidad ya no sea explotable revisando el archivo donor.php y confirmando que las entradas de usuario se validan correctamente.
Actualice el sistema Blood Bank Management System a una versión parcheada que solucione la vulnerabilidad XSS. Si no hay una versión parcheada disponible, revise y filtre las entradas del usuario en el archivo donor.php, especialmente el argumento 'name', para evitar la inyección de código malicioso. Considere implementar una función de escape para limpiar las entradas antes de mostrarlas en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1967 is a cross-site scripting (XSS) vulnerability in Blood Bank Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the /user_dashboard/donor.php file.
You are affected if you are using Blood Bank Management System version 1.0–1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1. If upgrading is not possible, implement input validation and output encoding on the 'name' parameter in /user_dashboard/donor.php.
While no active campaigns have been confirmed, the vulnerability is publicly disclosed, increasing the risk of exploitation.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2025-1967.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.