Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema House Rental and Property Listing, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'Name' en el archivo /app/complaint.php. La explotación puede realizarse de forma remota y ya se encuentra disponible públicamente, lo que aumenta el riesgo para los usuarios.
La vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario. Dado que la explotación es remota y ya pública, el riesgo de ataques es significativo. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser clickeado por un administrador, le permita obtener acceso a la cuenta y manipular la base de datos de alquileres.
La vulnerabilidad CVE-2026-0642 se ha hecho pública el 6 de enero de 2026. Existe un Proof of Concept (PoC) disponible, lo que facilita la explotación por parte de atacantes. La probabilidad de explotación se considera alta debido a la disponibilidad pública del PoC y la naturaleza remota de la vulnerabilidad. No se ha reportado su inclusión en el KEV de CISA ni confirmación de explotación activa a la fecha.
Websites and applications utilizing the projectworlds House Rental and Property Listing software, particularly those with user input forms and inadequate input validation, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's account could potentially impact others.
• php: Examine /app/complaint.php for unsanitized use of the Name parameter. Search for instances where user input is directly outputted to the browser without proper encoding.
• generic web: Monitor access logs for suspicious requests to /app/complaint.php with unusual or encoded values in the Name parameter. Use curl to test the endpoint with various payloads.
• generic web: Check response headers for signs of XSS payloads (e.g., unexpected script tags or event handlers).
disclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión corregida del sistema House Rental and Property Listing. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es validar y escapar cuidadosamente todos los datos de entrada del usuario, especialmente el argumento 'Name' en el archivo /app/complaint.php. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de las que se pueden cargar los scripts. Monitorear los logs del servidor en busca de patrones sospechosos, como solicitudes con caracteres inusuales en el argumento 'Name', también puede ayudar a detectar y prevenir ataques.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la ejecución de código XSS. Validar y limpiar las entradas del usuario, especialmente el campo 'Name' en el archivo complaint.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0642 is a cross-site scripting (XSS) vulnerability in projectworlds House Rental and Property Listing version 1.0, affecting the /app/complaint.php file. It allows attackers to inject malicious scripts.
You are affected if you are using House Rental and Property Listing version 1.0 and have not implemented adequate input validation and output encoding.
Upgrade to a patched version of House Rental and Property Listing. If a patch is unavailable, implement input validation and output encoding on the 'Name' parameter in /app/complaint.php.
Yes, a public exploit is available, indicating a high probability of active exploitation.
Refer to projectworlds' official website or security advisory channels for updates and information regarding CVE-2026-0642.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.