Plataforma
php
Componente
geni-portal
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el GENI Portal, específicamente en la función noinvocationiderror del archivo portal/www/portal/sliceresource.php. Esta vulnerabilidad permite a un atacante inyectar código malicioso a través de la manipulación de los parámetros invocationid/invocation_user. La afectación se extiende a versiones no especificadas, y se recomienda aplicar el parche 39a96fb4b822bd3497442a96135de498d4a81337 para solucionar el problema.
La vulnerabilidad XSS en GENI Portal permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial, o realizar otras acciones maliciosas en nombre del usuario. La falta de especificación de versiones afectadas amplía el potencial impacto, requiriendo una revisión exhaustiva de todas las implementaciones de GENI Portal.
La vulnerabilidad CVE-2020-36654 fue publicada el 18 de enero de 2023. No se ha encontrado información sobre su inclusión en KEV o sobre una puntuación EPSS. Actualmente, no se dispone de pruebas públicas de concepto (PoC) ampliamente disponibles, pero la naturaleza de la vulnerabilidad XSS la hace susceptible a explotación. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations utilizing the GENI Portal software, particularly those with publicly accessible instances, are at risk. Systems with outdated versions of GENI Portal, or those lacking robust input validation and output encoding mechanisms, are especially vulnerable.
• php / web:
grep -r 'invocation_id/invocation_user' /var/www/html/portal/www/portal/sliceresource.php• generic web:
curl -I <GENI Portal URL>/portal/www/portal/sliceresource.php?invocation_id=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.49% (66% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es la aplicación del parche proporcionado por el desarrollador: 39a96fb4b822bd3497442a96135de498d4a81337. Si la aplicación del parche causa problemas de compatibilidad, se recomienda realizar una copia de seguridad completa del sistema antes de intentar una reversión a una versión anterior estable. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para filtrar solicitudes que contengan patrones sospechosos de inyección de código. Después de aplicar el parche, confirme que la vulnerabilidad ha sido corregida intentando inyectar código JavaScript en los parámetros afectados y verificando que no se ejecuta.
Aplicar el parche 39a96fb4b822bd3497442a96135de498d4a81337 proporcionado por el proveedor para corregir la vulnerabilidad de Cross-Site Scripting (XSS) en el archivo sliceresource.php. Alternativamente, actualizar GENI Portal a una versión que incorpore esta corrección. Revisar el código afectado para asegurar que la entrada del usuario (invocation_id/invocation_user) esté correctamente sanitizada para prevenir futuros ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-36654 is a cross-site scripting (XSS) vulnerability in GENI Portal that allows attackers to inject malicious scripts via the invocationid/invocationuser parameter.
You are affected if you are using a version of GENI Portal prior to the patch 39a96fb4b822bd3497442a96135de498d4a81337.
Apply the patch 39a96fb4b822bd3497442a96135de498d4a81337. Consider input validation and output encoding as a temporary measure.
There are currently no confirmed reports of active exploitation of CVE-2020-36654.
Refer to the vulnerability description for the associated VDB identifier (VDB-218475) for more information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.