Plataforma
php
Componente
pkp/pkp-lib
Corregido en
3.3.0-16
El CVE-2023-5904 describe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado presente en la biblioteca pkp-lib, versiones anteriores a 3.3.0-16. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos que se ejecutan en el navegador de otros usuarios, comprometiendo la integridad de la información y potencialmente la disponibilidad del sistema. La vulnerabilidad ha sido resuelta en la versión 3.3.0-16.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través de un campo de entrada vulnerable en pkp-lib. Cuando otro usuario visita la página afectada, el script se ejecuta en su navegador, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página. El impacto puede variar desde el robo de información sensible hasta la toma del control de la cuenta del usuario afectado. La naturaleza almacenada de la vulnerabilidad significa que el ataque puede persistir en el sistema, afectando a múltiples usuarios hasta que se implemente la corrección.
El CVE-2023-5904 fue publicado el 1 de noviembre de 2023. No se ha reportado explotación activa en campañas conocidas. La probabilidad de explotación se considera baja debido a la complejidad de la inyección y la necesidad de un usuario para visitar la página vulnerable. No se ha añadido a la lista KEV de CISA.
Organizations and individuals using Open Journal Systems (OJS) or other applications built on pkp-lib versions 3.3.0-16 and earlier are at risk. This includes academic institutions, publishers, and researchers who rely on these platforms for managing and publishing scholarly content. Shared hosting environments using vulnerable versions of pkp-lib are particularly susceptible.
• php / server:
grep -r "<script" /path/to/pkp-lib/code• generic web:
curl -I <affected_url> | grep -i content-security-policydisclosure
Estado del Exploit
EPSS
0.31% (54% percentil)
Vector CVSS
La mitigación principal para el CVE-2023-5904 es actualizar la biblioteca pkp-lib a la versión 3.3.0-16 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de código JavaScript sospechosos. Después de la actualización, verifique que la vulnerabilidad haya sido efectivamente mitigada revisando los registros del servidor en busca de intentos de inyección de scripts.
Actualice la biblioteca pkp/pkp-lib a la versión 3.3.0-16 o superior. Esto solucionará la vulnerabilidad XSS almacenada. Puede actualizar la biblioteca utilizando Composer.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-5904 is a stored Cross-Site Scripting (XSS) vulnerability affecting pkp-lib versions up to 3.3.0-16, allowing attackers to inject malicious scripts.
You are affected if you are using pkp-lib versions 3.3.0-16 or earlier. Check your version and upgrade immediately.
Upgrade to version 3.3.0-16 or later to resolve the vulnerability. Consider input validation and WAF rules as interim measures.
There are currently no known public exploits or active campaigns targeting CVE-2023-5904, but vigilance is still advised.
Refer to the official pkp-lib security advisories on their GitHub repository or website for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.