Plataforma
go
Componente
1
Corregido en
1.0.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Human Resource Management System (HRMS) de code-projects. Esta problemática afecta a las versiones 1.0.0 y 1.0.1, permitiendo a un atacante inyectar scripts maliciosos en la aplicación. La vulnerabilidad reside en la función UpdateRecruitmentById del archivo \handler\recruitment.go y puede ser explotada de forma remota. Una actualización a la versión 1.0.2 soluciona esta vulnerabilidad.
La vulnerabilidad XSS en HRMS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que interactúa con la aplicación. Esto puede llevar al robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un usuario y enviarlas a un servidor controlado por el atacante. La explotación exitosa de esta vulnerabilidad podría comprometer la confidencialidad e integridad de los datos del sistema y de los usuarios.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas. La vulnerabilidad fue publicada el 2025-03-21. La disponibilidad de un Proof of Concept (PoC) público facilita la explotación por parte de atacantes con conocimientos técnicos básicos.
Organizations utilizing the code-projects Human Resource Management System, particularly those running versions 1.0.0 or 1.0.1, are at risk. This includes companies of all sizes that rely on this system for managing employee data and recruitment processes. Shared hosting environments where multiple users share the same server instance may be particularly vulnerable, as a compromised user account could potentially impact other users on the same server.
• go: Inspect the \handler\recruitment.go file for the vulnerable UpdateRecruitmentById function. Look for missing or inadequate input validation and output encoding.
// Example: Check for malicious characters before using user input
if strings.Contains(c, "<script") || strings.Contains(c, "") {
return "Invalid input";
}• generic web: Monitor access logs for unusual requests targeting the recruitment update endpoint. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:).
• generic web: Examine response headers for signs of XSS injection. Use browser developer tools to inspect the rendered HTML and identify any unexpected JavaScript code.
disclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2590 es actualizar el Human Resource Management System a la versión 1.0.2 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. La verificación de la corrección se puede realizar después de la actualización, confirmando que la función UpdateRecruitmentById no permite la inyección de scripts maliciosos al manipular el argumento 'c'.
Actualizar a una versión parcheada del sistema de gestión de recursos humanos. Contacte al proveedor para obtener una versión corregida o implemente medidas de sanitización de entrada para el argumento 'c' en la función UpdateRecruitmentById del archivo handler/recruitment.go.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2590 is a cross-site scripting (XSS) vulnerability affecting Human Resource Management System versions 1.0.0–1.0.1. It allows attackers to inject malicious scripts via the UpdateRecruitmentById function.
You are affected if you are using Human Resource Management System versions 1.0.0 or 1.0.1. Upgrade to version 1.0.2 or later to mitigate the risk.
Upgrade to version 1.0.2 or later. As a temporary workaround, implement input validation and output encoding on the vulnerable function.
As of the publication date, there are no confirmed reports of active exploitation, but the vulnerability is publicly disclosed and a proof-of-concept may be available.
Refer to the code-projects official website or repository for the advisory related to CVE-2025-2590.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.