Plataforma
php
Componente
cves
Corregido en
2.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el Intern Membership Management System, específicamente en la versión 2.0. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la información del usuario y la integridad del sistema. La vulnerabilidad afecta al archivo /user_registration/ y se ha confirmado su explotación pública. La versión 2.0.1 ya incluye la corrección.
La vulnerabilidad XSS en Intern Membership Management System permite a un atacante ejecutar scripts arbitrarios en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios. El impacto se amplifica si el sistema se utiliza para gestionar información sensible de los miembros, ya que un atacante podría acceder a datos personales o financieros. La explotación exitosa podría llevar a la toma de control de cuentas de usuario y, potencialmente, a la manipulación de la base de datos del sistema.
Esta vulnerabilidad ha sido divulgada públicamente y se ha confirmado su explotación. Aunque la puntuación CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios la convierten en una preocupación. No se han identificado campañas de explotación activas a gran escala en este momento, pero la disponibilidad de la vulnerabilidad en fuentes públicas aumenta el riesgo de ataques oportunistas. La vulnerabilidad fue publicada el 28 de diciembre de 2023.
Organizations utilizing the Intern Membership Management System version 2.0 are at risk. This includes businesses and institutions relying on this system for user registration and management. Shared hosting environments where multiple applications share the same server resources are particularly vulnerable, as a compromise of one application could potentially impact others.
• generic web:
curl -I 'https://your-intern-membership-system.com/user_registration/?userName=<script>alert(1)</script>' | grep -i 'content-security-policy'• generic web:
grep -i 'alert(1)' /var/log/apache2/access.log• generic web:
grep -i 'alert(1)' /var/log/apache2/error.logdisclosure
Estado del Exploit
EPSS
0.15% (36% percentil)
Vector CVSS
La mitigación principal para CVE-2023-7132 es actualizar el Intern Membership Management System a la versión 2.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas del usuario en el archivo /user_registration/. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts maliciosos. Es crucial revisar y fortalecer las políticas de seguridad del sitio web para prevenir futuros ataques XSS.
Actualice el sistema Intern Membership Management System a una versión parcheada o superior. Si no hay una versión disponible, revise el código fuente en /user_registration/ y aplique un filtro de escape a las variables userName, firstName, lastName y userEmail para evitar la ejecución de código JavaScript malicioso. Implemente validación de entrada para prevenir la inyección de scripts.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-7132 is a cross-site scripting (XSS) vulnerability affecting Intern Membership Management System version 2.0, allowing attackers to inject malicious scripts.
You are affected if you are using Intern Membership Management System version 2.0. Upgrade to version 2.0.1 to resolve the vulnerability.
Upgrade to version 2.0.1. Implement input validation and sanitization as an interim measure.
While no active campaigns are confirmed, the vulnerability is publicly disclosed, increasing the risk of exploitation.
Refer to VDB-249135 for details and the vendor's advisory (if available).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.