Plataforma
php
Componente
agency-code-repo
Corregido en
61.0.1
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Agency, una aplicación hasta la versión 61. Esta vulnerabilidad afecta a la funcionalidad de búsqueda de archivos, específicamente al parámetro QSType/QuickSearch en el archivo search.php. La explotación exitosa podría permitir a un atacante inyectar scripts maliciosos en el navegador de un usuario, comprometiendo la confidencialidad e integridad de la información. La versión corregida es 61.0.1 y se recomienda aplicar el parche disponible.
Un atacante podría explotar esta vulnerabilidad para inyectar código JavaScript malicioso en la página web de Agency. Este código podría robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web para engañar a los usuarios. El impacto potencial incluye el robo de información confidencial, la suplantación de identidad y la propagación de malware. Aunque la severidad CVSS es baja, la facilidad de explotación y el potencial de impacto en la experiencia del usuario hacen que esta vulnerabilidad deba ser tratada con seriedad. La falta de validación adecuada de la entrada del usuario permite la inyección de código arbitrario.
Esta vulnerabilidad fue publicada el 7 de noviembre de 2023. No se han reportado activamente campañas de explotación en la actualidad, pero la naturaleza de XSS hace que sea un vector de ataque común. La vulnerabilidad se encuentra en el VDB con el identificador 244495. No se ha añadido a la lista KEV de CISA hasta el momento.
Organizations using Agency version 61 or earlier are at risk. This includes those deploying Agency in shared hosting environments, as vulnerabilities can be exploited through cross-site scripting attacks. Users who rely on Agency for file management and search functionality are particularly vulnerable.
• php: Examine the search.php file for unsanitized input handling of the QSType parameter. Search for instances where user input is directly outputted to the HTML without proper encoding.
// Example of vulnerable code
<?php
echo $_GET['QSType']; // Vulnerable to XSS
?>• generic web: Monitor access logs for unusual requests targeting search.php with suspicious parameters in the QSType query string. Look for patterns indicative of XSS payloads.
grep 'QSType=<script>' access.logdiscovery
disclosure
public disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Agency a la versión 61.0.1, que incluye el parche 975b56953efabb434519d9feefcc53685fb8d0ab. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario en el archivo search.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro QSType/QuickSearch. Es crucial revisar y fortalecer las políticas de seguridad de la aplicación para prevenir futuras vulnerabilidades de XSS.
Aplicar el parche proporcionado en el commit 975b56953efabb434519d9feefcc53685fb8d0ab al archivo search.php. Revisar el código afectado para asegurar que la entrada del usuario en los parámetros QSType y QuickSearch se sanitice correctamente para prevenir ataques XSS. Actualizar a una versión posterior si está disponible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25156 is a cross-site scripting (XSS) vulnerability affecting Agency versions up to 61, allowing attackers to inject malicious scripts through the file search functionality.
Yes, if you are using Agency version 61 or earlier, you are vulnerable to this XSS attack. Upgrade to version 61.0.1 to mitigate the risk.
The recommended fix is to upgrade Agency to version 61.0.1 or later. Input validation and WAF rules can provide temporary protection.
While no widespread exploitation has been publicly reported, the vulnerability's ease of exploitation means it remains a potential risk.
Refer to the vendor's documentation and security advisories for Agency, and check the VDB entry (VDB-244495) for more details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.