Plataforma
php
Componente
pkp/pkp-lib
Corregido en
3.3.0-16
CVE-2023-5895 es una vulnerabilidad de Cross-Site Scripting (XSS) del tipo DOM detectada en el repositorio GitHub pkp/pkp-lib. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web visualizadas por otros usuarios. Afecta a versiones de pkp-lib anteriores o iguales a 3.3.0-16. La vulnerabilidad ha sido solucionada en la versión 3.3.0-16.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de un usuario al iniciar sesión en el sistema. La severidad es baja, pero el impacto puede ser significativo si se explota en un entorno crítico.
La vulnerabilidad fue publicada el 1 de noviembre de 2023. No se han reportado casos de explotación activa en entornos de producción. No se encuentra en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations and individuals using Open Journal Systems (OJS) with versions of pkp-lib prior to 3.3.0-16 are at risk. This includes academic institutions, publishers, and open-access journals that rely on OJS for managing their publications. Shared hosting environments running OJS are particularly vulnerable due to the potential for cross-tenant contamination.
• php / server:
find /var/www/html -name "pkp-lib*" -type d -print0 | xargs -0 grep -i "<script>"• generic web:
curl -I https://your-ojs-site.com/ | grep Content-Security-Policy• generic web: Check for unusual JavaScript code in the page source using browser developer tools.
disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
Vector CVSS
La mitigación principal para CVE-2023-5895 es actualizar pkp-lib a la versión 3.3.0-16 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar el código fuente en busca de posibles puntos de inyección de scripts y aplicar validación y escape adecuados a las entradas del usuario. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la vulnerabilidad al restringir las fuentes de las que se pueden cargar los scripts. Después de la actualización, verifique que la vulnerabilidad se haya solucionado revisando el código fuente y realizando pruebas de penetración.
Actualice la biblioteca pkp/pkp-lib a la versión 3.3.0-16 o superior. Esto solucionará la vulnerabilidad XSS. Puede actualizar la biblioteca utilizando Composer ejecutando el comando `composer update pkp/pkp-lib`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5895 is a DOM-based Cross-Site Scripting (XSS) vulnerability in the pkp-lib component of Open Journal Systems (OJS) affecting versions up to 3.3.0-16, allowing attackers to inject malicious scripts.
You are affected if you are using Open Journal Systems with pkp-lib versions prior to 3.3.0-16. Check your OJS installation version to determine your risk level.
Upgrade pkp-lib to version 3.3.0-16 or later. If immediate upgrade is not possible, implement input validation and output encoding.
As of now, there are no confirmed reports of active exploitation in the wild for CVE-2023-5895.
Refer to the official pkp-lib GitHub repository and the Open Journal Systems website for the latest security advisories and updates related to CVE-2023-5895.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.