Plataforma
php
Componente
myaac
Corregido en
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.8.6
0.8.7
0.8.8
0.8.9
0.8.10
0.8.11
0.8.12
0.8.13
0.8.14
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en MyAAC, afectando a las versiones desde 0.8.0 hasta 0.8.13. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo bugtracker.php y se puede explotar de forma remota. La versión 0.8.14 incluye una corrección para esta vulnerabilidad.
Un atacante puede aprovechar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección del usuario a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial se amplifica si la aplicación MyAAC se utiliza para gestionar información sensible o si los usuarios tienen privilegios elevados. La explotación exitosa podría permitir al atacante obtener acceso no autorizado a la funcionalidad de la aplicación y a los datos asociados.
Esta vulnerabilidad se publicó el 22 de diciembre de 2023. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS hace que sea un vector de ataque común. La vulnerabilidad ha sido registrada en la base de datos VDB con el identificador VDB-248848. No se ha añadido a KEV al momento de la redacción.
Organizations using MyAAC for bug tracking or issue reporting are at risk. Specifically, deployments running versions 0.8.0 through 0.8.13 are vulnerable. Shared hosting environments where MyAAC is installed alongside other applications may also be affected, as a successful XSS attack could potentially compromise other tenants on the same server.
• generic web: Use curl to test the bug report form endpoint with a simple XSS payload (e.g., curl 'http://your-myaac-instance/pages/bugtracker.php?bug[2][subject]=<script>alert(1)</script>'). Inspect the response for the presence of the alert box.
• generic web: Examine access and error logs for suspicious requests containing XSS payloads targeting the bug[2][subject], bug[2][text], or report[subject] parameters.
• php: Review the source code of pages/bugtracker.php for inadequate input validation or output encoding of these parameters.
disclosure
patch
Estado del Exploit
EPSS
0.15% (35% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar MyAAC a la versión 0.8.14, que incluye la corrección para la vulnerabilidad XSS. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo bugtracker.php. Implementar una Web Application Firewall (WAF) con reglas para filtrar scripts maliciosos también puede ayudar a mitigar el riesgo. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los parámetros bug[2]['subject']/bug[2]['text']/report['subject'] ya no sean susceptibles a la inyección de scripts.
Actualice MyAAC a la versión 0.8.14 o posterior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización se puede realizar descargando la nueva versión desde el sitio web oficial o utilizando un sistema de gestión de paquetes si está disponible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-7076 is a cross-site scripting (XSS) vulnerability in MyAAC versions 0.8.0 through 0.8.13, allowing attackers to inject malicious scripts.
Yes, if you are running MyAAC versions 0.8.0 through 0.8.13, you are vulnerable to this XSS attack.
Upgrade MyAAC to version 0.8.14 or later to resolve the vulnerability. Input validation and output encoding can be temporary workarounds.
As of the publication date, there are no confirmed reports of active exploitation, but vigilance is still advised.
Refer to the MyAAC project's official website or security advisories for the latest information and updates regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.