Plataforma
php
Componente
facturascripts
Corregido en
2022.04
CVE-2022-1457 es una vulnerabilidad de Cross-Site Scripting (XSS) de almacenamiento detectada en el sistema de gestión de facturas facturascripts, versiones anteriores a 2022.04. Esta vulnerabilidad permite a un atacante inyectar código malicioso en las páginas EditUser y EditProducto, comprometiendo la seguridad de los usuarios. La vulnerabilidad fue publicada el 25 de abril de 2022 y se recomienda actualizar a la versión 2022.04 para solucionar el problema.
La vulnerabilidad XSS en facturascripts permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite las páginas EditUser o EditProducto. Esto puede llevar a la exfiltración de información sensible, como credenciales de usuario o datos financieros. Un atacante podría robar cookies de sesión, permitiéndole hacerse pasar por un usuario autenticado y realizar acciones en su nombre. Además, el código malicioso inyectado podría redirigir a los usuarios a sitios web maliciosos o instalar malware en sus máquinas. La severidad CRÍTICA de esta vulnerabilidad subraya el riesgo significativo que representa para las organizaciones que utilizan facturascripts.
CVE-2022-1457 fue publicado el 25 de abril de 2022. No se ha reportado explotación activa a gran escala, pero la naturaleza de XSS y la disponibilidad de herramientas de explotación hacen que sea probable que sea explotada en el futuro. La vulnerabilidad se encuentra en un repositorio de GitHub, lo que facilita su descubrimiento y explotación. La alta puntuación CVSS indica un riesgo significativo.
Organizations using facturascripts for invoice generation and management are at risk, particularly those running versions prior to 2022.04. Shared hosting environments where multiple users share the same facturascripts installation are especially vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.
• generic web: Use curl to test the EditUser and EditProducto endpoints with a simple XSS payload (e.g., <script>alert(1)</script>) in the 'title' parameter. Examine the response for signs of script execution.
curl 'http://your-facturascripts-instance/edit_user.php?title=<script>alert(1)</script>'• generic web: Review access logs for requests containing suspicious characters or patterns in the 'title' parameter, such as <script> or javascript:.
• php: Examine the source code of edituser.php and editproducto.php for the handling of the 'title' parameter. Look for missing or inadequate input validation and output encoding.
disclosure
Estado del Exploit
EPSS
0.37% (59% percentil)
Vector CVSS
La mitigación principal para CVE-2022-1457 es actualizar facturascripts a la versión 2022.04 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en las páginas EditUser y EditProducto. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Monitorear los registros de acceso y error en busca de patrones inusuales también puede ayudar a detectar intentos de explotación.
Actualice facturascripts a la versión 2022.04 o posterior. Esta versión contiene una corrección para la vulnerabilidad XSS almacenada en los parámetros de título de las páginas EditUser y EditProducto. La actualización eliminará el riesgo de que un atacante inyecte código malicioso en su aplicación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-1457 is a critical stored XSS vulnerability in facturascripts versions up to 2022.04, allowing attackers to inject malicious scripts via the 'title' parameter.
You are affected if you are running facturascripts versions prior to 2022.04. Upgrade immediately to mitigate the risk.
Upgrade facturascripts to version 2022.04 or later. Implement input validation and output encoding as a temporary workaround if upgrading is not immediately possible.
While no active campaigns are currently known, the vulnerability's ease of exploitation makes it a potential target.
Refer to the facturascripts GitHub repository for updates and advisories: https://github.com/neorazorx/facturascripts
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.