Plataforma
php
Componente
online-quiz-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Online Quiz System de SourceCodester, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo take-quiz.php y ha sido divulgada públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Online Quiz System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que interactúa con la aplicación. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser clickeado por un usuario, ejecute un script que robe sus credenciales de acceso al sistema. El impacto se amplifica si el sistema se utiliza para almacenar información sensible o si tiene acceso a otros sistemas internos.
Esta vulnerabilidad ha sido divulgada públicamente y se ha asignado el identificador VDB-246639. No se ha confirmado la explotación activa en campañas dirigidas, pero la disponibilidad de la divulgación pública aumenta el riesgo de que sea explotada. La probabilidad de explotación se considera media debido a la facilidad de explotación de las vulnerabilidades XSS y la disponibilidad de la información sobre la vulnerabilidad.
Organizations and individuals using SourceCodester Online Quiz System versions 1.0 through 1.0 are at risk. This includes educational institutions, training providers, and any entity utilizing the system for online quizzes or assessments. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as an attacker could potentially compromise other users' accounts.
• php / web:
curl -I 'http://your-quiz-system.com/take-quiz.php?quiz_taker/year_section=<script>alert(1)</script>' | grep HTTP/1.1• generic web:
grep -i 'quiz_taker/year_section=' /var/log/apache2/access.logdisclosure
patch
Estado del Exploit
EPSS
0.08% (24% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Online Quiz System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo take-quiz.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Monitorear los logs de la aplicación en busca de intentos de inyección de código JavaScript también puede ayudar a detectar y prevenir ataques.
Actualizar a una versión parcheada o aplicar una solución que filtre y escape correctamente las entradas de usuario en el archivo `take-quiz.php`, especialmente los parámetros `quiz_taker` y `year_section`. Validar y limpiar las entradas antes de usarlas en la salida HTML para prevenir la inyección de código malicioso. Si no hay una versión parcheada disponible, considere deshabilitar o eliminar la funcionalidad vulnerable.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Es una vulnerabilidad de Cross-Site Scripting (XSS) en la versión 1.0 de Online Quiz System que permite la ejecución de scripts maliciosos a través de la manipulación de parámetros.
Sí, si está utilizando la versión 1.0 de Online Quiz System, es vulnerable a esta vulnerabilidad. Actualice a la versión 1.0.1.
La solución es actualizar a la versión 1.0.1 de Online Quiz System. Si no es posible, implemente validación y saneamiento de entradas.
Aunque no se ha confirmado la explotación activa en campañas dirigidas, la divulgación pública aumenta el riesgo de que sea explotada.
Consulte la documentación oficial de SourceCodester o su sitio web para obtener información sobre la vulnerabilidad y la actualización.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.