Plataforma
php
Componente
ojs
Corregido en
3.3.0-16
El CVE-2023-5894 describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado presente en Open Journal Systems (OJS) hasta la versión 3.3.0-16. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios, comprometiendo la integridad de los datos y la confidencialidad. La actualización a la versión 3.3.0-16 resuelve esta vulnerabilidad.
Un atacante puede aprovechar esta vulnerabilidad de XSS almacenado para ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario que visita una página afectada. Esto podría incluir el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página o la ejecución de acciones en nombre del usuario. El impacto potencial es significativo, ya que un atacante podría comprometer la seguridad de la plataforma OJS y acceder a información sensible o realizar acciones no autorizadas. La persistencia del XSS almacenado lo convierte en una amenaza particularmente grave, ya que el ataque puede persistir incluso después de que el atacante original haya abandonado la sesión.
Este CVE fue publicado el 1 de noviembre de 2023. No se ha reportado explotación activa a la fecha. No se encuentra listado en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Academic institutions, publishers, and any organizations utilizing Open Journal Systems to manage and publish scholarly journals are at risk. Specifically, sites running older, unpatched versions of OJS are vulnerable. Shared hosting environments where multiple OJS instances reside on the same server are also at increased risk.
• php / web:
curl -I https://your-ojs-site.com/ | grep -i content-type• php / web: Check OJS version by inspecting the version.php file in the OJS installation directory.
• php / web: Review server access logs for suspicious POST requests containing JavaScript code.
disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
Vector CVSS
La mitigación principal para el CVE-2023-5894 es actualizar Open Journal Systems a la versión 3.3.0-16 o superior. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el lado del servidor. Además, se recomienda configurar un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Revise los registros del servidor en busca de patrones sospechosos de inyección de scripts.
Actualice Open Journal Systems a la versión 3.3.0-16 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS almacenada. La actualización se puede realizar a través del panel de administración o descargando la última versión del software y reemplazando los archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5894 is a stored XSS vulnerability in Open Journal Systems (OJS) versions prior to 3.3.0-16, allowing attackers to inject malicious scripts.
You are affected if you are running Open Journal Systems version 3.3.0-16 or earlier. Check your version and upgrade if necessary.
Upgrade to Open Journal Systems version 3.3.0-16 or later to resolve the vulnerability. Consider input validation and WAF rules as interim measures.
As of now, there are no confirmed reports of active exploitation, but proactive patching is still recommended.
Refer to the official Open Journal Systems security advisories on their website or GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.