Plataforma
php
Componente
online-motorcycle-rental-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el Sistema de Alquiler de Motocicletas Online de SourceCodester, versiones 1.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad y la integridad de los datos del usuario. La vulnerabilidad afecta al archivo /admin/?page=bike y ha sido divulgada públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en el Sistema de Alquiler de Motocicletas Online permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un administrador y utilizarlas para acceder al sistema de forma no autorizada. El impacto se amplifica si el sistema se utiliza para almacenar información sensible de los clientes, como datos personales o información de pago, ya que un atacante podría acceder a esta información mediante la inyección de scripts maliciosos.
Esta vulnerabilidad ha sido divulgada públicamente y se considera que tiene una probabilidad de explotación moderada debido a la facilidad de la explotación y la disponibilidad de información sobre la vulnerabilidad. No se ha reportado su inclusión en el KEV de CISA. Existen pruebas de concepto (PoC) disponibles públicamente que demuestran la explotación de esta vulnerabilidad, lo que aumenta el riesgo de ataques.
Administrators of Online Motorcycle Rental System installations running versions 1.0–1.0 are at the highest risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of others.
• generic web: Use curl or wget to access /admin/?page=bike and inspect the response for signs of injected script tags.
curl -s -X POST /admin/?page=bike -d 'Model=<script>alert("XSS")</script>' | grep -i alert• php: Examine the source code of /admin/?page=bike for inadequate input validation or output encoding of the Model parameter. Search for functions like htmlspecialchars or strip_tags that are not being used correctly.
• generic web: Monitor access logs for unusual requests to /admin/?page=bike with suspicious parameters in the Model field.
disclosure
patch
Estado del Exploit
EPSS
0.04% (14% percentil)
Vector CVSS
La mitigación principal para CVE-2023-5585 es actualizar el Sistema de Alquiler de Motocicletas Online a la versión 1.0.1. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el archivo /admin/?page=bike. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript malicioso. Monitorear los registros del servidor en busca de patrones sospechosos, como solicitudes con caracteres inusuales en el parámetro 'Model', también puede ayudar a detectar intentos de explotación.
Actualice el sistema Online Motorcycle Rental System a una versión parcheada o aplique las medidas de seguridad necesarias para evitar la inyección de código malicioso en el campo 'Model'. Valide y escape las entradas del usuario para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5585 is a cross-site scripting (XSS) vulnerability affecting SourceCodester Online Motorcycle Rental System versions 1.0–1.0, allowing attackers to inject malicious scripts.
You are affected if you are running SourceCodester Online Motorcycle Rental System version 1.0 or 1.0. Check your version and upgrade immediately.
Upgrade to version 1.0.1. If upgrading is not possible, implement input validation and output encoding on the Model parameter.
While exploitation is possible due to public disclosure, there are no confirmed reports of active exploitation at this time.
Refer to the SourceCodester website or their official communication channels for the advisory regarding CVE-2023-5585.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.