Vulnerabilidad en SourceCodester Simple Public Chat Room (CVE-2025-63710)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

10/11/2025

Última modificación:

17/11/2025

Descripción

El endpoint send_message.php en SourceCodester Simple Public Chat Room 1.0 es vulnerable a falsificación de petición en sitios cruzados (CSRF). La aplicación no implementa ningún mecanismo de protección contra CSRF, como tokens, nonces o restricciones de cookie de mismo sitio. Un atacante puede crear una página HTML maliciosa que, cuando es visitada por un usuario autenticado, enviará automáticamente una petición POST falsificada al endpoint vulnerable. Esta petición se ejecutará con los privilegios de la víctima, permitiendo al atacante realizar acciones no autorizadas en su nombre, como enviar mensajes arbitrarios en cualquier sala de chat.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno