Plataforma
php
Componente
cve_hub
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Internet Banking System versión 1.0. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta específicamente a la funcionalidad del archivo pagestransfermoney.php y se ha corregido en la versión 1.0.1.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través del parámetro accountnumber en el archivo pagestransfer_money.php. Este código puede ser ejecutado en el navegador de cualquier usuario que visite la página vulnerable, permitiendo al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o realizar acciones en nombre del usuario autenticado. El impacto potencial incluye el robo de credenciales bancarias, la manipulación de transacciones financieras y el daño a la reputación de la institución financiera. La naturaleza remota de la explotación y la disponibilidad pública de la vulnerabilidad aumentan significativamente el riesgo.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la puntuación CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la información financiera hacen que sea una preocupación importante. No se ha confirmado explotación activa a la fecha de publicación (2023-10-22), pero la disponibilidad pública de la vulnerabilidad sugiere que es probable que sea explotada en el futuro.
Organizations and individuals using CodeAstro Internet Banking System version 1.0 are at risk. This includes financial institutions, online banking customers, and anyone who relies on this system for financial transactions. Shared hosting environments using this system are particularly vulnerable due to the potential for cross-tenant exploitation.
• php: Examine pagestransfermoney.php for inadequate input sanitization of the account_number parameter. Search for instances of echo or print statements directly outputting user-supplied data without proper encoding.
// Example of vulnerable code
echo $_GET['account_number'];• generic web: Monitor access logs for requests to pagestransfermoney.php containing suspicious characters or patterns in the account_number parameter, such as <script> or alert().
grep 'account_number=[^a-zA-Z0-9]' access.logdisclosure
poc
Estado del Exploit
EPSS
0.09% (26% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Internet Banking System, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario en el archivo pagestransfermoney.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro account_number. Monitorear los logs de la aplicación en busca de intentos de inyección de código también puede ayudar a detectar y responder a ataques.
Actualizar a una versión parcheada del sistema Internet Banking System. Si no hay una versión disponible, sanitizar la entrada del parámetro `account_number` en el archivo `pages_transfer_money.php` para evitar la inyección de código JavaScript. Utilizar funciones de escape específicas para XSS al mostrar datos en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5696 is a cross-site scripting (XSS) vulnerability in CodeAstro Internet Banking System versions 1.0-1.0, allowing attackers to inject malicious scripts.
Yes, if you are using CodeAstro Internet Banking System version 1.0, you are affected by this vulnerability.
Upgrade to CodeAstro Internet Banking System version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround.
The vulnerability has been publicly disclosed and a proof-of-concept exploit is available, indicating a potential for active exploitation.
Refer to the CodeAstro website or security advisories for the official advisory regarding CVE-2023-5696.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.