Plataforma
php
Componente
extplorer
Corregido en
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.1.7
2.1.8
2.1.9
2.1.10
2.1.11
2.1.12
2.1.13
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en eXtplorer, afectando a las versiones desde 2.1.0 hasta 2.1.12. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La actualización a la versión 2.1.13 resuelve este problema, proporcionando una solución efectiva para proteger el sistema.
La vulnerabilidad XSS en eXtplorer permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que interactúa con la aplicación. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a información sensible almacenada en eXtplorer, o para realizar acciones en nombre de un usuario legítimo. La explotación exitosa podría comprometer la seguridad de todo el sistema, especialmente si eXtplorer se utiliza para gestionar información confidencial.
Esta vulnerabilidad fue publicada el 5 de enero de 2023. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques oportunistas. No se ha añadido a la lista KEV de CISA. La disponibilidad de un parche indica que el riesgo es manejable si se aplica la actualización de manera oportuna.
Organizations and individuals using eXtplorer versions 2.1.0 through 2.1.12 are at risk, particularly those who rely on eXtplorer to manage sensitive files or integrate it with other applications. Shared hosting environments where eXtplorer is installed are also at increased risk, as a compromise of one user's installation could potentially affect other users on the same server.
• php: Examine eXtplorer configuration files for any unusual or unexpected code.
grep -r 'alert(' /path/to/extplorer• generic web: Monitor access logs for suspicious requests containing JavaScript code or unusual characters in input fields.
grep -i 'script' /var/log/apache2/access.log• generic web: Check response headers for signs of XSS injection, such as the presence of unexpected JavaScript code in the HTML content.
discovery
disclosure
patch
Estado del Exploit
EPSS
0.33% (56% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar eXtplorer a la versión 2.1.13, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts también puede ayudar a mitigar el riesgo. Verifique después de la actualización que la vulnerabilidad ha sido efectivamente resuelta revisando los logs de la aplicación en busca de intentos de explotación.
Actualice eXtplorer a la versión 2.1.13 o superior. Esta versión contiene una corrección para la vulnerabilidad de Cross-Site Scripting (XSS). Puede descargar la última versión desde el sitio web oficial o repositorio del proyecto.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25096 is a cross-site scripting (XSS) vulnerability affecting eXtplorer versions 2.1.0 through 2.1.12, allowing attackers to inject malicious scripts.
You are affected if you are using eXtplorer versions 2.1.0 to 2.1.12. Upgrade to 2.1.13 or later to mitigate the risk.
Upgrade eXtplorer to version 2.1.13 or later. Implement input validation and output encoding as a temporary workaround.
While no active campaigns are confirmed, XSS vulnerabilities are frequently targeted, so prompt patching is crucial.
Refer to the eXtplorer project's website or GitHub repository for the official advisory and patch details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.