Plataforma
php
Componente
vulndis
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema User Registration and Login System de SourceCodester, afectando a las versiones 1.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad ha sido divulgada públicamente y se recomienda actualizar a la versión 1.0.1 para mitigar el riesgo.
La vulnerabilidad XSS en el sistema User Registration and Login System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial o realizar acciones en nombre del usuario afectado. La divulgación pública de esta vulnerabilidad aumenta significativamente el riesgo de explotación.
La vulnerabilidad CVE-2023-6462 ha sido divulgada públicamente el 1 de diciembre de 2023. Aunque la severidad es baja (CVSS 3.5), la divulgación pública y la relativa facilidad de explotación la convierten en un riesgo significativo. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad aumenta la probabilidad de ataques oportunistas. La vulnerabilidad ha sido registrada en la base de datos VDB con el ID 246612.
Organizations utilizing SourceCodester User Registration and Login System in their applications, particularly those with user-facing features and sensitive data, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromised user account could potentially impact other users on the same server.
• php / web:
curl -I 'http://your-website.com/endpoint/delete-user.php?user=<script>alert(1)</script>' | grep -i 'content-type'• generic web:
curl -s 'http://your-website.com/endpoint/delete-user.php?user=<script>alert(1)</script>' | grep 'alert(1)'disclosure
patch
Estado del Exploit
EPSS
0.08% (24% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema User Registration and Login System a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Verifique después de la actualización que la función /endpoint/delete-user.php no sea vulnerable mediante pruebas de inyección de scripts.
Actualizar a una versión parcheada o aplicar la corrección proporcionada por el proveedor. Validar y limpiar las entradas del usuario en el script `delete-user.php` para evitar la inyección de código XSS. Escapar la salida HTML para prevenir la ejecución de scripts maliciosos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-6462 is a cross-site scripting (XSS) vulnerability affecting SourceCodester User Registration and Login System versions 1.0-1.0, allowing attackers to inject malicious scripts.
You are affected if you are using SourceCodester User Registration and Login System versions 1.0 through 1.0. Upgrade to 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1 of SourceCodester User Registration and Login System. Input validation and output encoding can provide temporary protection.
While publicly disclosed, there are no confirmed reports of active exploitation at this time. Monitor security advisories for updates.
Refer to the SourceCodester website and security advisories for the latest information regarding CVE-2023-6462 and available patches.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.