Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la versión 1.0 de Online Eyewear Shop, un sistema de gestión de tienda de gafas online. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad y la integridad de los datos del usuario. La vulnerabilidad afecta a la versión 1.0 y ha sido solucionada en la versión 1.0.1.
La vulnerabilidad XSS en Online Eyewear Shop permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial o realizar acciones en nombre del usuario. La manipulación del argumento 'brand' en el archivo /classes/Master.php?f=save_product es el vector de ataque principal, aunque otros parámetros podrían ser susceptibles.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La baja puntuación CVSS (3.5) indica que el impacto potencial es limitado, pero la facilidad de explotación podría llevar a ataques generalizados. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad pública de la vulnerabilidad la convierte en un objetivo atractivo para atacantes.
Organizations and individuals using SourceCodester Online Eyewear Shop version 1.0 are at risk. Shared hosting environments are particularly vulnerable, as a compromised account could potentially inject malicious scripts affecting other users on the same server. Users who have not implemented robust input validation and output encoding practices are also at increased risk.
• php / web: Examine the /classes/Master.php file for unsanitized input handling of the 'brand' parameter. Search access logs for unusual JavaScript code being injected via GET requests to /classes/Master.php?f=save_product.
grep -i 'script' /var/log/apache2/access.log | grep '/classes/Master.php'disclosure
Estado del Exploit
EPSS
0.21% (43% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-3297 es actualizar a la versión 1.0.1 de Online Eyewear Shop. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Monitorear los logs de la aplicación en busca de patrones de inyección de scripts también puede ayudar a detectar y prevenir ataques.
Actualizar a una versión parcheada del software. Contacte al proveedor para obtener una versión corregida o aplique las medidas de seguridad necesarias para evitar la manipulación del parámetro 'brand' y otros parámetros vulnerables. Valide y limpie las entradas del usuario para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-3297 is a cross-site scripting (XSS) vulnerability in SourceCodester Online Eyewear Shop versions 1.0–1.0, allowing attackers to inject malicious scripts.
You are affected if you are using SourceCodester Online Eyewear Shop version 1.0–1.0 and have not upgraded to version 1.0.1.
Upgrade to version 1.0.1. As a temporary measure, implement input validation and output encoding on the 'brand' parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the SourceCodester website or relevant security advisories for the official advisory regarding CVE-2025-3297.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.