Plataforma
php
Componente
lsi.webray.com.cn
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Book Borrower System de SourceCodester, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta el procesamiento de archivos en el endpoint /add-book.php y ha sido divulgada públicamente.
La vulnerabilidad XSS en Book Borrower System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que interactúa con la aplicación. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial, o realizar acciones en nombre del usuario afectado. La manipulación de los campos 'Título del Libro' y 'Autor' en el endpoint /add-book.php es el vector de ataque principal.
Esta vulnerabilidad ha sido divulgada públicamente y se ha añadido al VDB con el identificador VDB-246443. La probabilidad de explotación es considerada alta debido a la disponibilidad pública de la información sobre la vulnerabilidad. No se han reportado campañas de explotación activas a la fecha, pero la naturaleza de XSS hace que sea un vector de ataque común y persistente.
Organizations and individuals using the SourceCodester Book Borrower System, particularly those running version 1.0, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially compromise other users' accounts through this vulnerability.
• php: Examine the /add-book.php file for unsanitized input handling of Book Title and Book Author parameters. Search for instances where these parameters are directly outputted to the page without proper encoding.
// Example of vulnerable code
<?php
echo $_GET['book_title'];
?>• generic web: Monitor access logs for requests to /add-book.php with unusual or suspicious characters in the Book Title or Book Author parameters. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:, onerror=).
grep 'book_title=[^a-zA-Z0-9 ]+' access.log• generic web: Check response headers for the presence of X-XSS-Protection or Content-Security-Policy headers. These headers can help mitigate XSS attacks, but are not a substitute for proper input validation and output encoding.
disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
Vector CVSS
La mitigación principal para CVE-2023-6440 es actualizar a la versión 1.0.1 del sistema Book Borrower System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el endpoint /add-book.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Verifique después de la actualización que la inyección de scripts en los campos 'Título del Libro' y 'Autor' ya no sea posible.
Actualice el sistema Book Borrower System a una versión parcheada o aplique las medidas de seguridad necesarias para evitar la ejecución de scripts maliciosos en los campos 'Book Title' y 'Book Author'. Valide y escape las entradas del usuario para prevenir ataques XSS. Si no hay una versión parcheada disponible, considere deshabilitar o eliminar el componente vulnerable.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-6440 is a cross-site scripting (XSS) vulnerability affecting SourceCodester Book Borrower System versions 1.0 through 1.0. It allows attackers to inject malicious scripts via the /add-book.php endpoint.
Yes, if you are using SourceCodester Book Borrower System version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. If upgrading is not possible, implement input validation and output encoding on the /add-book.php endpoint.
While there are no confirmed active campaigns targeting this specific vulnerability, the public disclosure and availability of a proof-of-concept increase the risk of exploitation.
Refer to the SourceCodester website or their official communication channels for the advisory regarding CVE-2023-6440.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.