Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Blood Bank System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'Bloodname' en el archivo AB+.php. La explotación exitosa puede resultar en la ejecución de código arbitrario en el navegador de un usuario, comprometiendo la confidencialidad e integridad de los datos. La versión afectada es 1.0, y una solución está disponible en la versión 1.0.1.
La vulnerabilidad XSS en Blood Bank System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de cualquier usuario que visite una página comprometida. Esto podría usarse para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web para engañar a los usuarios. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios, permitiéndole acceder a información sensible del sistema de gestión de bancos de sangre. La naturaleza remota de la explotación significa que un atacante no necesita acceso directo al servidor para explotar esta vulnerabilidad.
Este CVE ha sido publicado y el exploit es de conocimiento público, lo que aumenta el riesgo de explotación. La puntuación CVSS de 3.5 (LOW) indica que, aunque la vulnerabilidad existe, la explotación puede requerir ciertas condiciones o ser menos fácil de llevar a cabo. No se han reportado campañas de explotación activas conocidas en este momento, pero la disponibilidad pública del CVE y la relativa facilidad de explotación sugieren que podría ser explotado en el futuro.
Organizations and individuals using the Blood Bank System version 1.0 are at risk. This includes healthcare providers, blood banks, and any entity relying on this system for managing blood-related data. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as an attacker could potentially exploit the vulnerability on one user's account to gain access to others.
• php / server:
grep -r "Bloodname = $_GET['Bloodname']" /var/www/html/• generic web:
curl -I http://your-blood-bank-system/AB+.php?Bloodname=<script>alert('XSS')</script>disclosure
Estado del Exploit
EPSS
0.12% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2049 es actualizar el sistema Blood Bank System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo AB+.php. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de scripts que pueden ejecutarse en el navegador. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a posibles ataques.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la ejecución de código XSS. Validar y limpiar las entradas del usuario, especialmente el parámetro Bloodname en el archivo AB+.php. Implementar una política de seguridad de contenido (CSP) para mitigar los riesgos de XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2049 is a cross-site scripting (XSS) vulnerability in Blood Bank System version 1.0, allowing attackers to inject malicious scripts via the Bloodname parameter in AB+.php.
You are affected if you are using Blood Bank System version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the Bloodname parameter.
While no confirmed exploitation campaigns are currently known, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2025-2049.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.