Plataforma
php
Componente
pkp/pkp-lib
Corregido en
3.3.0-16
CVE-2023-5903 describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado descubierta en el repositorio GitHub pkp/pkp-lib. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios. Afecta a versiones de pkp-lib anteriores o iguales a 3.3.0-16. La vulnerabilidad ha sido resuelta con la actualización a la versión 3.3.0-16.
La vulnerabilidad XSS almacenado en pkp-lib permite a un atacante inyectar código JavaScript malicioso en el sitio web. Este código puede ser ejecutado en el navegador de cualquier usuario que visite la página comprometida. Un atacante podría utilizar esta vulnerabilidad para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso tomar el control de la cuenta del usuario. El impacto se amplifica si el sitio web es utilizado por un gran número de usuarios o si contiene información sensible.
La vulnerabilidad fue publicada el 1 de noviembre de 2023. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Organizations and individuals utilizing Open Journal Systems (OJS) instances based on vulnerable versions of pkp-lib are at risk. This includes academic institutions, publishers, and researchers who rely on OJS for managing journals and conference proceedings. Shared hosting environments where multiple OJS instances reside on the same server are particularly vulnerable, as a compromise of one instance could potentially impact others.
• php / server:
find /var/www/html/pkp-lib -name '*.php' -print0 | xargs -0 grep -iE '(<script.*?>)|(<img.*?>)|(<iframe.*?>)'• generic web:
curl -I https://your-ojs-instance.com/ | grep -i 'content-type: text/html'disclosure
Estado del Exploit
EPSS
0.32% (55% percentil)
Vector CVSS
La mitigación principal para CVE-2023-5903 es actualizar pkp-lib a la versión 3.3.0-16 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Verifique después de la actualización que la vulnerabilidad ha sido efectivamente mitigada revisando los logs del servidor en busca de intentos de inyección de scripts.
Actualice la biblioteca pkp/pkp-lib a la versión 3.3.0-16 o superior. Esto solucionará la vulnerabilidad XSS almacenada. Puede actualizar la biblioteca utilizando Composer ejecutando el comando 'composer update pkp/pkp-lib'.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5903 is a stored Cross-Site Scripting (XSS) vulnerability affecting pkp-lib versions prior to 3.3.0-16, allowing attackers to inject malicious scripts.
You are affected if you are using pkp-lib version 3.3.0-16 or earlier. Check your version and upgrade if necessary.
Upgrade to version 3.3.0-16 or later of pkp-lib. Consider input validation and WAF rules as interim measures.
No active exploitation campaigns have been reported, but vigilance is still advised.
Refer to the official pkp-lib GitHub repository and security advisories for details: https://github.com/pkp/pkp-lib
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.