Plataforma
php
Componente
cves
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Client Details System versión 1.0. Esta problemática permite la inyección de código malicioso a través de la manipulación de parámetros en el archivo /admin/regester.php, lo que podría comprometer la seguridad de la aplicación. La vulnerabilidad afecta a la versión 1.0 y ha sido resuelta en la versión 1.0.1. Se recomienda actualizar a la última versión disponible.
Un atacante podría explotar esta vulnerabilidad para inyectar scripts maliciosos en la página web, que se ejecutarían en el navegador de los usuarios que visiten la aplicación. Esto podría permitir al atacante robar información sensible, como cookies de sesión, o redirigir a los usuarios a sitios web maliciosos. El impacto se amplifica si la aplicación se utiliza para gestionar información confidencial de clientes, ya que un atacante podría acceder a esta información. La posibilidad de lateral movement es baja, pero la exposición de datos sensibles es significativa.
Esta vulnerabilidad ha sido divulgada públicamente y se ha asignado el identificador VDB-249146. La probabilidad de explotación es considerada alta debido a la disponibilidad pública de la información sobre la vulnerabilidad. No se ha identificado su inclusión en el KEV de CISA ni evidencia de campañas activas de explotación a la fecha de publicación. Se recomienda monitorear activamente los registros de la aplicación en busca de patrones de ataque.
Organizations using the Client Details System version 1.0, particularly those with publicly accessible administrative interfaces, are at risk. Shared hosting environments where multiple users share the same server and application instance are also particularly vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.
• generic web: Use curl to test the /admin/regester.php endpoint with various payloads in the fname, lname, email, and contact parameters. Look for reflected input in the response.
curl 'http://example.com/admin/regester.php?fname=<script>alert(1)</script>&lname=test&[email protected]&contact=12345' • php: Examine the /admin/regester.php file for unsanitized input handling. Search for functions like echo, print, or innerHTML used with user-supplied data.
• php: Review the application's error logs for any XSS-related errors or suspicious activity.
• generic web: Check access and error logs for unusual requests to /admin/regester.php with suspicious parameters.
disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
Vector CVSS
La mitigación principal es actualizar el sistema Client Details System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización de todas las entradas de usuario en el archivo /admin/regester.php. Además, se recomienda implementar un Web Application Firewall (WAF) que pueda detectar y bloquear intentos de inyección de scripts. Verifique después de la actualización que la inyección de scripts no sea posible manipulando los parámetros fname, lname, email y contact.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código XSS. Validar y limpiar las entradas de usuario (fname, lname, email, contact) antes de mostrarlas en la página /admin/regester.php. Escapar los caracteres especiales para prevenir la ejecución de scripts maliciosos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-7143 is a cross-site scripting (XSS) vulnerability in Client Details System version 1.0, allowing attackers to inject malicious scripts via the /admin/regester.php file.
You are affected if you are using Client Details System version 1.0 and have not upgraded to version 1.0.1.
Upgrade to version 1.0.1. As a temporary measure, implement input validation and sanitization on the /admin/regester.php file.
While no active campaigns are currently known, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the vendor's official advisory or security bulletin for Client Details System regarding CVE-2023-7143.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.