Plataforma
php
Componente
pkp/pkp-lib
Corregido en
3.3.0-16
CVE-2023-5901 es una vulnerabilidad de Cross-Site Scripting (XSS) detectada en la biblioteca pkp-lib, específicamente en versiones anteriores o iguales a 3.3.0-16. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en páginas web vistas por otros usuarios. La actualización a la versión 3.3.0-16 resuelve esta vulnerabilidad, eliminando el riesgo de ejecución de scripts no deseados.
Un atacante puede explotar esta vulnerabilidad para ejecutar scripts maliciosos en el contexto del navegador de un usuario legítimo. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial es significativo, ya que un atacante podría comprometer la confidencialidad e integridad de la información del usuario. La ejecución de código arbitrario en el navegador del usuario abre la puerta a una amplia gama de ataques, incluyendo phishing y la instalación de malware.
Esta vulnerabilidad fue publicada el 1 de noviembre de 2023. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations and institutions running Open Journal Systems (OJS) with versions of pkp-lib prior to 3.3.0-16 are at risk. This includes academic publishers, university libraries, and research institutions that rely on OJS for managing their journals and publications. Shared hosting environments using OJS are particularly vulnerable due to the potential for cross-tenant contamination.
• php / web: Examine OJS application logs for suspicious JavaScript injection attempts. Use a web application firewall (WAF) to filter out common XSS payloads. • generic web: Use curl/wget to test form fields for XSS vulnerabilities. Inspect response headers for unexpected script tags.
curl -X POST -d "<script>alert(1)</script>" http://your-ojs-instance/index.php/your-journal/aboutdisclosure
Estado del Exploit
EPSS
0.15% (36% percentil)
Vector CVSS
La mitigación principal para CVE-2023-5901 es actualizar la biblioteca pkp-lib a la versión 3.3.0-16 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Verifique la integridad de los archivos de la biblioteca después de la actualización para asegurar que no han sido comprometidos.
Actualice la biblioteca pkp/pkp-lib a la versión 3.3.0-16 o superior. Esto corregirá la vulnerabilidad de Cross-site Scripting (XSS). Puede actualizar la biblioteca utilizando Composer.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5901 is a Cross-Site Scripting (XSS) vulnerability in the pkp-lib library, a core component of Open Journal Systems (OJS), allowing attackers to inject malicious scripts.
You are affected if you are using pkp-lib versions prior to 3.3.0-16 in your Open Journal Systems (OJS) installation. Check your version and upgrade if necessary.
Upgrade pkp-lib to version 3.3.0-16 or later. Consider implementing input validation and output encoding as a temporary mitigation.
As of now, there are no known public exploits or active campaigns targeting CVE-2023-5901, but prompt remediation is still recommended.
Refer to the official Public Knowledge Project (PKP) security advisories for details: https://security.pkp.org/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.