Plataforma
php
Componente
hestiacp
Corregido en
1.5.9
CVE-2022-0752 es una vulnerabilidad de Cross-Site Scripting (XSS) genérica detectada en el repositorio GitHub hestiacp/hestiacp. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en páginas web vistas por otros usuarios. Afecta a las versiones de hestiacp/hestiacp iguales o anteriores a 1.5.9. La vulnerabilidad ha sido solucionada en la versión 1.5.9.
Un atacante que explote esta vulnerabilidad podría ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. El impacto se amplifica si el atacante puede comprometer cuentas de administrador, permitiéndole controlar completamente el panel de control de hestiacp y, potencialmente, los servidores web alojados. La naturaleza genérica de la XSS implica que múltiples puntos de entrada podrían ser explotables, requiriendo una revisión exhaustiva del código.
La vulnerabilidad fue publicada el 4 de marzo de 2022. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace susceptible a ataques oportunistas. La baja puntuación CVSS (3.5) indica un riesgo relativamente bajo, pero la facilidad de explotación de XSS requiere atención. No está listada en el KEV de CISA.
Organizations and individuals using HestiaCP control panel versions prior to 1.5.9 are at risk. This includes web hosting providers using HestiaCP to manage client accounts, and developers who rely on HestiaCP for server management tasks. Shared hosting environments are particularly vulnerable, as a compromise of one account could potentially impact other users on the same server.
• php / server:
grep -r "<script" /var/www/hestiacp/• generic web:
curl -I http://your-hestiacp-domain.com | grep Content-Security-Policydisclosure
Estado del Exploit
EPSS
0.31% (54% percentil)
Vector CVSS
La mitigación principal es actualizar hestiacp/hestiacp a la versión 1.5.9 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de la entrada del usuario y la codificación de la salida para prevenir la ejecución de scripts maliciosos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Monitorear los registros del servidor en busca de intentos de inyección de scripts también es crucial.
Actualice HestiaCP a la versión 1.5.9 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-0752 is a vulnerability in HestiaCP versions prior to 1.5.9 that allows attackers to inject malicious scripts into web pages, potentially stealing user data or hijacking sessions.
You are affected if you are using HestiaCP version 1.5.9 or earlier. Upgrade to version 1.5.9 or later to mitigate the risk.
Upgrade HestiaCP to version 1.5.9 or later. Consider implementing input validation and output encoding as an additional security measure.
There is currently no indication of active exploitation in the wild, but proactive patching is still recommended.
Refer to the official HestiaCP security advisory for details: https://docs.hestiacp.com/security/security-advisories/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.