Plataforma
php
Componente
multi-restaurant-table-reservation-system-search
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Vehicle Management System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a la funcionalidad de confirmación de reservas, específicamente al archivo /confirmbooking.php. Una actualización a la versión 1.0.1 soluciona esta vulnerabilidad.
La vulnerabilidad XSS en Vehicle Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un administrador y utilizarlas para acceder al sistema. La explotación exitosa de esta vulnerabilidad podría comprometer la información sensible de los vehículos y los clientes, así como interrumpir las operaciones del sistema.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la severidad CVSS es LOW, la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se han reportado campañas de explotación activas conocidas a la fecha de publicación. La vulnerabilidad fue publicada el 2025-03-17.
Organizations utilizing SourceCodester Vehicle Management System, particularly those with publicly accessible instances or those lacking robust input validation practices, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised user account could be leveraged to exploit this vulnerability.
• php / web:
curl -I 'http://your-vehicle-management-system/confirmbooking.php?id=<script>alert(1)</script>' | grep -i 'content-type'• php / web: Examine /confirmbooking.php for lack of input validation on the 'id' parameter. • generic web: Monitor access logs for unusual requests to /confirmbooking.php with suspicious parameters.
disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2377 es actualizar el sistema Vehicle Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /confirmbooking.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Verifique después de la actualización que la función de confirmación de reservas no presenta vulnerabilidades adicionales.
Actualizar a una versión parcheada del sistema de gestión de vehículos. Si no hay una versión parcheada disponible, sanitizar la entrada del parámetro 'id' en el archivo confirmbooking.php para evitar la ejecución de código JavaScript malicioso. Utilizar funciones de escape específicas para XSS al mostrar la entrada del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2377 is a cross-site scripting (XSS) vulnerability affecting SourceCodester Vehicle Management System versions 1.0–1.0. It allows attackers to inject malicious scripts via the /confirmbooking.php file.
You are affected if you are using SourceCodester Vehicle Management System version 1.0 or 1.0. Check your version and upgrade immediately if vulnerable.
Upgrade to version 1.0.1. If upgrading is not possible, implement input validation and output encoding on the /confirmbooking.php page.
While active exploitation is not confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Refer to the SourceCodester website or relevant security forums for the official advisory regarding CVE-2025-2377.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.