Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Human Metapneumovirus Testing Management System, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar código malicioso en las páginas web vistas por otros usuarios, comprometiendo potencialmente la confidencialidad y la integridad de la información. La actualización a la versión 1.0.1 resuelve este problema.
La vulnerabilidad XSS en Human Metapneumovirus Testing Management System permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de acceso de los usuarios al sistema, permitiéndole acceder a información sensible o realizar acciones en nombre del usuario afectado. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la confidencialidad y la integridad de los datos almacenados en el sistema.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la CVSS score es baja (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se ha reportado explotación activa a la fecha de publicación, pero la disponibilidad de la información sobre la vulnerabilidad podría facilitar su explotación por parte de actores maliciosos.
Organizations utilizing the Human Metapneumovirus Testing Management System in their workflows, particularly those handling sensitive patient data, are at risk. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromised application could potentially impact other hosted applications.
• wordpress / composer / npm:
grep -r "/search-report.php" ./*• generic web:
curl -I <URL>/search-report.php | grep -i "X-XSS-Protection"disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema Human Metapneumovirus Testing Management System a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de código malicioso. Verifique después de la actualización que la inyección de scripts no sea posible a través de la página /search-report.php.
Actualizar a una versión parcheada del sistema de gestión. Si no hay una versión disponible, sanitizar las entradas del usuario en el archivo /search-report.php para evitar la inyección de código malicioso. Implementar medidas de seguridad adicionales como la codificación de salida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2084 is a cross-site scripting (XSS) vulnerability affecting versions 1.0–1.0 of the Human Metapneumovirus Testing Management System, allowing attackers to inject malicious scripts.
If you are using Human Metapneumovirus Testing Management System version 1.0–1.0, you are potentially affected by this vulnerability. Upgrade to 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround if upgrading is not immediately possible.
While no active campaigns are confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Monitor your systems for suspicious activity.
Refer to the vendor's official website or security advisory page for the most up-to-date information and announcements regarding CVE-2025-2084.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.