Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el componente House Rental and Property Listing, específicamente en la versión 1.0. Esta debilidad reside en el archivo /app/sms.php y permite la inyección de scripts maliciosos a través de la manipulación del argumento 'Message'. La explotación es posible de forma remota y ya ha sido divulgada públicamente, lo que aumenta el riesgo de ataques.
Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en las páginas web de House Rental and Property Listing. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web para engañar a los usuarios. El impacto se amplifica si la aplicación se utiliza para gestionar información sensible de usuarios, como datos de contacto o detalles de alquiler, ya que un atacante podría comprometer esta información. La divulgación pública del exploit facilita su uso por parte de actores maliciosos con diferentes niveles de habilidad.
El exploit para esta vulnerabilidad ha sido publicado públicamente, lo que indica una alta probabilidad de explotación. Aunque la CVSS score es LOW (3.5), la disponibilidad pública del exploit aumenta significativamente el riesgo. No se ha registrado en el KEV de CISA al momento de la redacción. La vulnerabilidad fue publicada el 30 de enero de 2026.
Organizations and individuals using projectworlds House Rental and Property Listing version 1.0, particularly those hosting the application on shared hosting environments or without robust security monitoring, are at increased risk. Users who interact with the application's SMS functionality are also directly exposed.
• php / server:
grep -r "Message = " /app/sms.php• generic web:
curl -I <property listing URL with potentially malicious Message parameter>• generic web: Examine access logs for requests containing suspicious characters in the Message parameter.
disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es la validación y el saneamiento riguroso de todas las entradas de usuario, especialmente el argumento 'Message' en el archivo /app/sms.php. Implementar una política de seguridad de contenido (CSP) puede ayudar a reducir el impacto de los ataques XSS al restringir las fuentes de contenido que el navegador puede cargar. Si la actualización a una versión corregida no es inmediatamente posible, considere implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección XSS conocidos. Es fundamental revisar el código fuente para identificar y corregir cualquier otra instancia de manipulación de entrada no segura.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del parámetro 'Message' en el archivo sms.php. Validar y limpiar las entradas del usuario para prevenir ataques de Cross-Site Scripting (XSS).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1700 is a cross-site scripting (XSS) vulnerability in projectworlds House Rental and Property Listing version 1.0, affecting the /app/sms.php file. Attackers can inject malicious scripts by manipulating the Message argument.
You are affected if you are using projectworlds House Rental and Property Listing version 1.0 and have not applied a patch or implemented mitigating controls.
Upgrade to a patched version of House Rental and Property Listing. As a temporary workaround, implement input validation and output encoding on the Message argument in /app/sms.php.
Due to the public availability of the exploit, CVE-2026-1700 is likely being actively exploited, or is at high risk of exploitation.
Refer to projectworlds' official website or security channels for the advisory related to CVE-2026-1700.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.