Plataforma
php
Componente
pkp/pkp-lib
Corregido en
3.4.0-4
El CVE-2023-5896 describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado presente en la biblioteca pkp-lib, versiones anteriores a 3.4.0-4. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios, comprometiendo la integridad de la información y potencialmente la disponibilidad del sistema. La versión corregida es 3.4.0-4, y se recomienda aplicar la actualización lo antes posible.
Un atacante que explote esta vulnerabilidad puede inyectar código JavaScript malicioso en el repositorio pkp-lib. Este código se ejecutará en el navegador de cualquier usuario que acceda a la página afectada, permitiendo al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o incluso modificar el contenido de la página. El impacto puede ser significativo, especialmente si la biblioteca pkp-lib se utiliza en aplicaciones críticas que manejan información sensible. La persistencia del XSS almacenado significa que el ataque puede permanecer activo hasta que se implemente una solución.
Este CVE fue publicado el 1 de noviembre de 2023. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS almacenado implica un riesgo continuo. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera baja a moderada, dada la necesidad de acceso al repositorio para inyectar el código malicioso.
Organizations and individuals using Open Journal Systems (OJS) or other applications built on pkp-lib versions prior to 3.4.0-4 are at risk. This includes academic institutions, publishers, and researchers who rely on OJS for managing their journals.
• php / web:
curl -I https://your-ojs-domain.com/ | grep -i content-security-policy• php / web: Review user input fields for improper sanitization and encoding. • php / web: Examine application logs for suspicious JavaScript code being injected or executed. • php / web: Check for unusual user behavior or redirects originating from the application.
disclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
Vector CVSS
La mitigación principal para el CVE-2023-5896 es actualizar la biblioteca pkp-lib a la versión 3.4.0-4 o superior. Si la actualización inmediata no es posible debido a problemas de compatibilidad, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de código JavaScript sospechosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de penetración.
Actualice la biblioteca pkp/pkp-lib a la versión 3.4.0-4 o superior. Esto corregirá la vulnerabilidad XSS almacenada. Puede actualizar la biblioteca utilizando Composer o descargando la última versión del repositorio y reemplazando los archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5896 is a stored Cross-Site Scripting (XSS) vulnerability affecting pkp-lib versions up to 3.4.0-4, allowing attackers to inject malicious scripts.
You are affected if you are using pkp-lib versions 3.4.0-4 or earlier. Check your version and upgrade if necessary.
Upgrade to version 3.4.0-4 or later of pkp-lib. Implement input validation and output encoding as a temporary measure.
As of now, there are no known public exploits or active campaigns targeting CVE-2023-5896.
Refer to the official pkp-lib security advisory on their GitHub repository for detailed information and updates: https://github.com/pkp/pkp-lib/security/advisories/GHSA-796g-355j-499x
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.