Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Payroll Management System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'division' en el archivo /home_employee.php. El impacto principal es la posible ejecución de código arbitrario en el navegador de un usuario, comprometiendo la confidencialidad y la integridad de la información. La versión afectada es 1.0–1.0, y la solución recomendada es actualizar a la versión 1.0.1.
La vulnerabilidad XSS en Payroll Management System permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario autenticado. Esto podría ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web para engañar al usuario. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los empleados al ingresar a la aplicación, permitiendo el acceso no autorizado a información sensible como salarios, datos personales y detalles de nómina. La explotación exitosa de esta vulnerabilidad podría resultar en una brecha de datos significativa y un compromiso de la integridad del sistema.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas. La divulgación pública implica que existen pruebas de concepto (PoCs) disponibles, lo que facilita la explotación por parte de atacantes con conocimientos técnicos. La fecha de publicación de la CVE es 2025-03-23.
Organizations utilizing the Payroll Management System, particularly those with legacy configurations or shared hosting environments, are at increased risk. Businesses handling sensitive employee data, such as financial information and personal details, are especially vulnerable to the potential data breach and reputational damage resulting from this XSS vulnerability.
• php: Examine /home_employee.php for unsanitized use of the 'division' parameter. Search for instances where user input is directly echoed to the browser without proper encoding.
// Example of vulnerable code
<?php
echo $_GET['division']; // Vulnerable to XSS
?>• generic web: Monitor access logs for suspicious requests to /home_employee.php containing unusual characters or patterns indicative of XSS payloads. Use curl to test the endpoint with various payloads.
curl 'http://example.com/home_employee.php?division=<script>alert("XSS")</script>'disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-2673 es actualizar Payroll Management System a la versión 1.0.1, que incluye la corrección de la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas podrían incluir la validación y el saneamiento de todas las entradas de usuario en el archivo /home_employee.php para prevenir la inyección de código malicioso. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Verificar que la aplicación esté utilizando las últimas versiones de las bibliotecas PHP y que las configuraciones de seguridad sean las más restrictivas posibles.
Actualizar a una versión parcheada del sistema de gestión de nóminas. Si no hay una versión parcheada disponible, sanitizar las entradas del parámetro 'division' en el archivo /home_employee.php para evitar la ejecución de código XSS. Validar y escapar los datos antes de mostrarlos en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-2673 is a cross-site scripting (XSS) vulnerability affecting Payroll Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the /home_employee.php file.
If you are using Payroll Management System version 1.0 or 1.0, you are potentially affected by this XSS vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to Payroll Management System version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding on the 'division' parameter.
While no active exploitation campaigns have been publicly reported, the vulnerability has been disclosed and a proof-of-concept is available, increasing the likelihood of exploitation.
Refer to the official Payroll Management System documentation or website for the advisory related to CVE-2025-2673.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.