Plataforma
other
Componente
webray.com.cn
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo de contenido de Zoo Management System, específicamente en la ruta /zoo/admin/publichtml/viewaccounts?type=zookeeper. Esta vulnerabilidad permite a un atacante inyectar código malicioso a través de la manipulación del parámetro 'admin_name'. La vulnerabilidad afecta a la versión 1.0 del sistema. Se recomienda validar las entradas para mitigar el riesgo.
Un atacante podría explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario autenticado. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. El impacto se agrava si el atacante puede comprometer la cuenta de un administrador, lo que le permitiría acceder a información sensible y realizar acciones no autorizadas dentro del sistema de gestión de Zoo. La inyección de scripts podría usarse para obtener credenciales de usuarios o para realizar ataques de phishing dirigidos.
La vulnerabilidad fue divulgada públicamente el 23 de mayo de 2022. No se ha reportado su inclusión en el KEV de CISA. Se han publicado pruebas de concepto (PoC) que demuestran la facilidad de explotación de esta vulnerabilidad, lo que indica una probabilidad de explotación moderada. Se recomienda monitorear los registros del servidor en busca de patrones de ataque relacionados con la inyección de scripts.
Organizations utilizing the Zoo Management System 1.0, particularly those with administrative interfaces accessible over the internet, are at risk. Shared hosting environments where multiple users share the same instance of the Zoo Management System are also particularly vulnerable, as an attacker could potentially compromise other users' accounts.
disclosure
Estado del Exploit
EPSS
0.18% (40% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es la validación estricta de todas las entradas del usuario, especialmente el parámetro 'adminname'. Implementar una lista blanca de caracteres permitidos y escapar cualquier carácter potencialmente peligroso antes de mostrarlo en la página web. Si la actualización a una versión corregida no es inmediatamente posible, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript malicioso en el parámetro 'adminname'. Se debe revisar y fortalecer la lógica de autenticación para evitar el acceso no autorizado.
Actualizar el sistema Zoo Management System a una versión parcheada que solucione la vulnerabilidad XSS. Si no hay una versión disponible, se recomienda deshabilitar o eliminar el módulo de contenido afectado hasta que se publique una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-1816 is a cross-site scripting (XSS) vulnerability in the Zoo Management System Content Module, allowing attackers to inject malicious scripts via the admin_name parameter.
If you are using Zoo Management System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as it becomes available.
The recommended fix is to upgrade to a patched version of the Zoo Management System. As an interim measure, implement input sanitization and WAF rules to prevent script injection.
While active exploitation is not confirmed, a public proof-of-concept exists, indicating a potential risk of exploitation.
Refer to the Zoo Management System's official website or security advisory page for updates and information regarding CVE-2022-1816.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.