Plataforma
php
Componente
vulndis
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema User Registration and Login System de SourceCodester, afectando a las versiones 1.0 y 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, comprometiendo potencialmente la seguridad de los usuarios. La versión 1.0.1 ya incluye una corrección para esta vulnerabilidad.
La vulnerabilidad XSS en User Registration and Login System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario o para realizar otras acciones maliciosas en nombre del usuario afectado. La inyección se realiza a través del parámetro first_name en el archivo /endpoint/add-user.php, lo que facilita la explotación remota.
Esta vulnerabilidad ha sido divulgada públicamente y se le ha asignado el identificador VDB-246613. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario para que el ataque sea exitoso, aunque la divulgación pública aumenta el riesgo. No se han reportado campañas de explotación activas a la fecha.
Organizations utilizing SourceCodester User Registration and Login System in their applications, particularly those with limited security controls or legacy configurations, are at risk. Shared hosting environments where multiple users share the same server and application instance are also particularly vulnerable, as a compromise of one user account could potentially impact others.
• php: Examine the /endpoint/add-user.php file for unsanitized input handling of the 'firstname' parameter. Search for patterns like echo $POST['first_name'] without proper escaping.
// Example of vulnerable code
echo $_POST['first_name'];• generic web: Monitor access logs for requests to /endpoint/add-user.php with unusual or suspicious values in the 'first_name' parameter (e.g., containing <script> tags or event handlers).
• generic web: Check response HTML for unexpected JavaScript code execution, particularly within elements related to user input fields.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 del sistema User Registration and Login System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Verifique que la actualización se haya completado correctamente revisando la versión del sistema y realizando pruebas de inyección de scripts en el formulario de registro de usuarios.
Actualice el sistema User Registration and Login System a una versión parcheada o aplique las correcciones de seguridad proporcionadas por el proveedor. Desinfecte las entradas del usuario, especialmente el campo `first_name`, para evitar la ejecución de código XSS. Implemente validación y codificación de datos en el lado del servidor para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-6463 is a cross-site scripting (XSS) vulnerability in SourceCodester User Registration and Login System versions 1.0–1.0, allowing attackers to inject malicious scripts via the /endpoint/add-user.php file.
You are affected if you are using SourceCodester User Registration and Login System versions 1.0–1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the 'first_name' parameter in /endpoint/add-user.php.
While no active exploitation campaigns have been confirmed, the public disclosure and availability of a proof-of-concept suggest exploitation is possible.
Refer to the SourceCodester website or relevant security advisories for the official advisory regarding CVE-2023-6463.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.