Plataforma
php
Componente
faculty-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Faculty Management System, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo /admin/pages/subjects.php y afecta a la funcionalidad de manipulación de argumentos Description/Units. Una actualización a la versión 1.0.1 soluciona este problema.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría permitir al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o modificar el contenido de la página web. El impacto potencial es significativo, ya que un atacante podría obtener acceso no autorizado a información sensible o realizar acciones en nombre del usuario. La naturaleza de XSS permite ataques de phishing dirigidos a usuarios específicos dentro de la aplicación, lo que aumenta el riesgo de compromiso.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. El exploit es relativamente sencillo de implementar, lo que facilita su uso por parte de atacantes con diferentes niveles de habilidad. Aunque la CVSS score es baja (2.4), el impacto potencial en la confidencialidad y la integridad de los datos justifica una respuesta rápida. La vulnerabilidad ha sido registrada en la base de datos VDB con el identificador VDB-248743.
Administrators and users with access to the /admin/pages/subjects.php page are at risk. Shared hosting environments running Faculty Management System 1.0 are particularly vulnerable, as they may be easier targets for attackers.
• php / web:
curl -I 'http://your-faculty-management-system/admin/pages/subjects.php?Description/Units=<script>alert(1)</script>' | grep -i 'content-type'• php / web: Examine the /admin/pages/subjects.php file for unescaped output of the Description/Units variable.
• generic web: Review access logs for suspicious requests to /admin/pages/subjects.php with unusual parameters in the Description/Units field.
• generic web: Check for any unusual JavaScript code being injected into the page source code.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el Faculty Management System a la versión 1.0.1, que incluye la corrección para la XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/pages/subjects.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de código malicioso. Verifique que la actualización se haya aplicado correctamente revisando la versión del sistema después de la instalación.
Actualizar a una versión parcheada del sistema Faculty Management System. Si no hay una versión parcheada disponible, sanitizar las entradas de los campos 'Description' y 'Units' en el archivo /admin/pages/subjects.php para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-7056 is a cross-site scripting (XSS) vulnerability affecting Faculty Management System version 1.0, allowing attackers to inject malicious scripts via the /admin/pages/subjects.php file.
You are affected if you are running Faculty Management System version 1.0 and have not upgraded to version 1.0.1 or later.
Upgrade to Faculty Management System version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround.
While exploitation is possible due to public disclosure, there is no confirmed widespread exploitation at this time.
Refer to the Faculty Management System project's official website or repository for the advisory related to CVE-2023-7056.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.