Plataforma
php
Componente
vul
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema de gestión de estudiantes Online Student Management System de SourceCodester, afectando a las versiones 1.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad ha sido divulgada públicamente y se recomienda actualizar a la versión 1.0.1 para solucionar el problema.
La vulnerabilidad de XSS en Online Student Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser clickeado por un administrador o estudiante, ejecute un script que robe sus credenciales de acceso. La explotación exitosa de esta vulnerabilidad podría comprometer la información personal de los estudiantes, incluyendo sus calificaciones, datos de contacto y otros datos sensibles almacenados en el sistema. El impacto se amplifica si el sistema se utiliza en un entorno compartido, donde un atacante podría afectar a múltiples usuarios simultáneamente.
Esta vulnerabilidad ha sido divulgada públicamente el 19 de diciembre de 2023, lo que aumenta la probabilidad de explotación. Aunque la CVSS score es baja (2.4), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad de manera proactiva. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la información sobre la vulnerabilidad podría motivar a atacantes a buscar y explotar esta debilidad.
Educational institutions and organizations utilizing the SourceCodester Online Student Management System are at risk, particularly those running version 1.0. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromised account could potentially be used to exploit the vulnerability and impact other users.
• php: Examine the 'edit-student-detail.php' file for unsanitized use of the 'notmsg' parameter. Search for instances where user input is directly outputted to the page without proper encoding.
// Example of vulnerable code
echo $_GET['notmsg'];• generic web: Monitor access logs for unusual requests targeting 'edit-student-detail.php' with suspicious parameters in the URL. Look for patterns indicative of XSS attempts.
grep 'notmsg=<script>' access.log• generic web: Check response headers for the presence of XSS payloads. Use tools like curl to send requests and inspect the response.
curl -I 'http://example.com/edit-student-detail.php?notmsg=<script>alert("XSS")</script>'disclosure
patch
Estado del Exploit
EPSS
0.06% (20% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Online Student Management System, que incluye la corrección para la inyección de scripts. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo edit-student-detail.php. Además, se puede considerar la implementación de una Web Application Firewall (WAF) con reglas que bloqueen la inyección de scripts en el parámetro 'notmsg'. Monitorear los logs del servidor en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando el código fuente o realizando pruebas de penetración.
Actualice el sistema a una versión parcheada o implemente una validación y sanitización adecuadas de la entrada 'notmsg' en el archivo 'edit-student-detail.php' para evitar la inyección de código malicioso. Considere utilizar funciones de escape específicas del contexto para la salida de datos. Revise el código fuente para identificar y corregir otras posibles vulnerabilidades XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-6945 is a cross-site scripting (XSS) vulnerability in SourceCodester Online Student Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'notmsg' parameter.
You are affected if you are running SourceCodester Online Student Management System version 1.0–1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1 of the Online Student Management System. As a temporary workaround, implement input validation and output encoding on the 'notmsg' parameter.
No active exploitation campaigns have been publicly reported, but the vulnerability has been disclosed and may be exploited.
Refer to the SourceCodester website or relevant security forums for the official advisory regarding CVE-2023-6945.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.