Kostenlos scannen
Analyse ausstehendCVE-2024-3090

CVE-2024-3090: XSS in Emergency Ambulance Hiring Portal

Plattform

php

Komponente

open-source-vulnerabilities

Behoben in

1.0.1

Auf NVD ansehen
Speichern

CVE-2024-3090 is a problematic cross-site scripting (XSS) vulnerability discovered in the PHPGurukul Emergency Ambulance Hiring Portal. This flaw allows attackers to inject malicious scripts into the application, potentially leading to data theft or session hijacking. The vulnerability affects versions 1.0 and is resolved in version 1.0.1, which has been released.

Auswirkungen und Angriffsszenarien

An attacker can exploit this XSS vulnerability by injecting malicious JavaScript code through the 'Ambulance Reg No' or 'Driver Name' fields on the /admin/add-ambulance.php page. When a user with sufficient privileges views the page containing the injected script, the script will execute in their browser context. This could lead to the attacker stealing sensitive information like session cookies, redirecting the user to a malicious website, or defacing the application's interface. The impact is amplified if the administrator account is compromised, granting the attacker control over the entire Emergency Ambulance Hiring Portal.

Ausnutzungskontext

This vulnerability has been publicly disclosed and assigned identifier VDB-258683. While the CVSS score is LOW (2.4), the ease of exploitation and potential impact on sensitive data warrant immediate attention. No active campaigns or KEV listing were found as of the publication date (2024-03-30). The exploit is relatively straightforward, making it accessible to a wide range of attackers.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.09% (26% Perzentil)

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N2.4LOWAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredHighErforderliche AuthentifizierungsstufeUser InteractionRequiredOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Hoch — Administrator- oder Privilegienkonto erforderlich.
User Interaction
Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponenteopen-source-vulnerabilities
HerstellerPHPGurukul
Mindestversion1.0
Höchstversion1.0
Behoben in1.0.1

Schwachstellen-Klassifikation (CWE)

CWE-79

Zeitleiste

  1. Reserved
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workarounds

The primary mitigation for CVE-2024-3090 is to immediately upgrade the Emergency Ambulance Hiring Portal to version 1.0.1. If upgrading is not immediately feasible, consider implementing input validation and sanitization on the 'Ambulance Reg No' and 'Driver Name' fields to prevent the injection of malicious scripts. Web application firewalls (WAFs) can also be configured to filter out potentially malicious requests containing XSS payloads. Regularly review and update input validation routines to address new attack vectors.

So behebenwird übersetzt…

Actualice el Emergency Ambulance Hiring Portal a una versión parcheada que solucione la vulnerabilidad XSS. Si no hay una versión disponible, filtre y escape las entradas del usuario en el archivo /admin/add-ambulance.php, especialmente los campos 'Ambulance Reg No' y 'Driver Name', para evitar la inyección de código malicioso.

Häufig gestellte Fragen

What is CVE-2024-3090 — XSS in Emergency Ambulance Hiring Portal?

CVE-2024-3090 is a cross-site scripting (XSS) vulnerability affecting the Emergency Ambulance Hiring Portal versions 1.0. It allows attackers to inject malicious scripts via the 'Ambulance Reg No' or 'Driver Name' fields.

Am I affected by CVE-2024-3090 in Emergency Ambulance Hiring Portal?

If you are using Emergency Ambulance Hiring Portal version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to resolve the issue.

How do I fix CVE-2024-3090 in Emergency Ambulance Hiring Portal?

The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the vulnerable fields and consider using a WAF.

Is CVE-2024-3090 being actively exploited?

While no active campaigns have been publicly reported, the vulnerability has been disclosed and is considered exploitable, so proactive mitigation is essential.

Where can I find the official Emergency Ambulance Hiring Portal advisory for CVE-2024-3090?

Refer to the PHPGurukul website or their official security advisory channels for the latest information and updates regarding CVE-2024-3090.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...