Plataforma
php
Componente
cve_hub
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación Sticky Notes App, específicamente en las versiones 1.0 a 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación. La vulnerabilidad afecta el archivo endpoint/add-note.php y ha sido divulgada públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad XSS manipulando los parámetros noteTitle o noteContent en la solicitud al archivo endpoint/add-note.php. Esto permite la inyección de código JavaScript arbitrario en la página web, que se ejecutará en el navegador de la víctima. El impacto puede variar desde el robo de cookies y credenciales hasta la redirección a sitios web maliciosos o la modificación del contenido de la página. La ejecución de código en el contexto del usuario comprometido puede facilitar el acceso a información sensible o el control de la aplicación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la severidad CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad y la integridad de los datos hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se han reportado campañas de explotación activas conocidas a la fecha de esta evaluación, pero la disponibilidad de la información sobre la vulnerabilidad podría cambiar esto.
Organizations and individuals using the SourceCodester Sticky Notes App version 1.0 are at risk. This includes users who rely on the application for note-taking and task management, particularly those who share notes or integrate the application with other systems. Shared hosting environments where multiple users share the same instance of the application are also at increased risk.
• php: Examine access logs for requests to /add-note.php with unusual or excessively long noteTitle/noteContent parameters. Look for patterns indicative of XSS payloads (e.g., <script> tags, event handlers).
grep -i '<script' /var/log/apache2/access.log | grep /add-note.php• generic web: Use curl to test the /add-note.php endpoint with a simple XSS payload in the noteTitle parameter (e.g., <script>alert('XSS')</script>). Verify that the payload is reflected in the response.
curl -X POST -d "noteTitle=<script>alert('XSS')</script>¬eContent=test" http://your-sticky-notes-app/add-note.phpdisclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
Vector CVSS
La mitigación principal es actualizar la aplicación Sticky Notes App a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Verifique que la actualización se haya realizado correctamente revisando la versión instalada de la aplicación.
Actualice la aplicación Sticky Notes App a una versión posterior a la 1.0, si existe, que corrija la vulnerabilidad de Cross-Site Scripting (XSS) en el archivo add-note.php. Si no hay una actualización disponible, considere deshabilitar o eliminar la aplicación hasta que se publique una versión segura. Como medida temporal, implemente validación y sanitización de entradas en el archivo add-note.php para los parámetros noteTitle y noteContent para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5791 is a cross-site scripting (XSS) vulnerability in Sticky Notes App version 1.0, allowing attackers to inject malicious scripts through the noteTitle or noteContent parameters in the /add-note.php file.
Yes, if you are using Sticky Notes App version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the noteTitle and noteContent parameters.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the potential for exploitation. Prompt remediation is advised.
Refer to the SourceCodester website or relevant security advisories for the official advisory regarding CVE-2023-5791.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.