Plataforma
php
Componente
wenqin.webray.com.cn
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en SourceCodester URL Shortener, afectando a las versiones 1.0 a 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el componente Long URL Handler y ha sido divulgada públicamente. Una actualización a la versión 1.0.1 soluciona esta vulnerabilidad.
La vulnerabilidad XSS en SourceCodester URL Shortener permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una URL acortada maliciosa. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, crear una URL acortada que, al ser visitada, robe las credenciales de inicio de sesión de un usuario o inyecte código malicioso en la página para robar información sensible. La divulgación pública de esta vulnerabilidad aumenta significativamente el riesgo de explotación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. Aunque el CVSS score es LOW (3.5), la facilidad de explotación y la naturaleza de la vulnerabilidad XSS la hacen un riesgo significativo. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad de la divulgación pública facilita la creación de exploits. La vulnerabilidad fue publicada el 27 de noviembre de 2023.
Organizations using SourceCodester URL Shortener version 1.0 are at risk. This includes websites that rely on URL shortening services for tracking or affiliate marketing purposes. Shared hosting environments are particularly vulnerable, as they may host multiple instances of the software, increasing the attack surface.
• php / web:
grep -r '<script>' /var/www/html/sourcecodester_url_shortener• generic web:
curl -I https://your-url-shortener.com/longurlhandler?url=<script>alert(1)</script>• generic web: Check access logs for unusual requests containing <script> tags or other XSS payloads targeting the Long URL Handler endpoint.
disclosure
patch
Estado del Exploit
EPSS
0.11% (29% percentil)
Vector CVSS
La mitigación principal para CVE-2023-6313 es actualizar SourceCodester URL Shortener a la versión 1.0.1 o superior, que incluye la corrección para esta vulnerabilidad XSS. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de la entrada del usuario en el componente Long URL Handler. Implementar una Web Application Firewall (WAF) con reglas para filtrar scripts maliciosos también puede ayudar a mitigar el riesgo. Verifique después de la actualización que la funcionalidad de acortamiento de URL no sea susceptible a inyecciones de script al procesar URLs largas.
Actualizar a una versión parcheada o descontinuar el uso del software. Debido a que no hay una versión corregida disponible, la mitigación implica la desinstalación o la implementación de medidas de seguridad adicionales, como el saneamiento de las entradas del usuario para prevenir ataques (XSS).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-6313 is a cross-site scripting (XSS) vulnerability in SourceCodester URL Shortener versions 1.0–1.0, affecting the Long URL Handler functionality, allowing attackers to inject malicious scripts.
You are affected if you are using SourceCodester URL Shortener version 1.0. Upgrade to version 1.0.1 or later to mitigate the risk.
Upgrade to version 1.0.1 or later. As a temporary measure, implement input validation and output encoding on the Long URL Handler.
While no active exploitation campaigns have been publicly confirmed, the vulnerability has been publicly disclosed and a proof-of-concept may be available, increasing the risk.
Refer to the SourceCodester website or relevant security advisories for the official advisory regarding CVE-2023-6313.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.