Plataforma
php
Componente
wenqin.webray.com.cn
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el software School Visitor Log e-Book, específicamente en las versiones 1.0 y 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo log-book.php y se puede explotar remotamente. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en School Visitor Log e-Book permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la aplicación. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios y las envíe a un servidor controlado por el atacante. La explotación exitosa de esta vulnerabilidad podría comprometer la seguridad de la información sensible almacenada en la aplicación, como los datos de los visitantes de la escuela y la información de contacto del personal. La naturaleza pública del exploit aumenta significativamente el riesgo de explotación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. Aunque la CVSS score es LOW (3.5), la disponibilidad de un proof-of-concept público significa que los atacantes pueden explotar fácilmente esta vulnerabilidad. No se ha confirmado la explotación activa en campañas conocidas, pero la naturaleza pública del exploit hace que sea un riesgo significativo. La vulnerabilidad fue publicada el 22 de diciembre de 2023.
Schools and educational institutions utilizing the School Visitor Log e-Book software, particularly those running versions 1.0 through 1.0, are at risk. Shared hosting environments where multiple users share the same server resources could amplify the impact if one user's account is compromised.
• php / web:
grep -r "log-book.php" /var/www/html/*• php / web:
curl -I http://your-school-visitor-log-url/log-book.php?Full Name=<script>alert('XSS')</script>disclosure
Estado del Exploit
EPSS
0.14% (35% percentil)
Vector CVSS
La mitigación principal para CVE-2023-7059 es actualizar a la versión 1.0.1 de School Visitor Log e-Book. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo log-book.php. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Monitorear los registros de acceso y error en busca de patrones sospechosos, como solicitudes con caracteres inusuales en el parámetro 'Full Name', también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme la mitigación revisando los registros de la aplicación y realizando pruebas de penetración básicas.
Actualizar a una versión parcheada o aplicar una solución que filtre y escape correctamente la entrada del usuario en el campo 'Full Name' en el archivo log-book.php para prevenir la inyección de código XSS. Validar y limpiar las entradas del usuario es crucial para mitigar este tipo de vulnerabilidades. Si no hay una versión parcheada disponible, considere deshabilitar o eliminar el componente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-7059 is a cross-site scripting vulnerability in School Visitor Log e-Book versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'Full Name' field.
You are affected if you are using School Visitor Log e-Book versions 1.0 through 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1 of the School Visitor Log e-Book. As a temporary workaround, implement input validation on the 'Full Name' field.
As of the publication date, there are no confirmed reports of active exploitation campaigns targeting CVE-2023-7059.
Refer to the SourceCodester advisory for details: [https://sourcecodester.com/news/school-visitor-log-ebook-vulnerability](https://sourcecodester.com/news/school-visitor-log-ebook-vulnerability)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.