Plataforma
php
Componente
cves
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación QR Code Generator versión 1.0. Esta vulnerabilidad permite a un atacante inyectar código malicioso en la página web, potencialmente comprometiendo la confidencialidad y la integridad de los datos del usuario. La vulnerabilidad afecta al archivo /download.php?file=author.png y ha sido divulgada públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través del parámetro 'file' en la URL /download.php?file=author.png. Al cargar la página web con el código malicioso, el navegador del usuario ejecutará el script, permitiendo al atacante robar cookies, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página. La severidad es baja, pero la facilidad de explotación y la posibilidad de robo de información sensible hacen que esta vulnerabilidad sea preocupante. La inyección de código puede llevar a la suplantación de identidad y el acceso no autorizado a cuentas de usuario.
Esta vulnerabilidad ha sido divulgada públicamente el 29 de diciembre de 2023. Existe un Proof of Concept (PoC) disponible, lo que facilita la explotación por parte de atacantes. La vulnerabilidad ha sido asignada el identificador VDB-249153. La probabilidad de explotación es considerada alta debido a la disponibilidad del PoC y la facilidad de la técnica de ataque.
Websites and applications that utilize the QR Code Generator component, particularly those that allow users to download files generated by the component, are at risk. Shared hosting environments where multiple users share the same server resources are also at increased risk, as a compromise of one user's QR Code Generator instance could potentially impact other users on the same server.
• php / web:
grep -r "onerror=alert(document.domain)" /var/www/html/• generic web:
curl -I 'http://your-website.com/download.php?file=author.png%22%3EiMg%20src=N%20onerror=alert(document.domain)%3E' | grep -i 'alert(document.domain)'disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de QR Code Generator. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que contengan código JavaScript inyectado. Monitorear los logs del servidor en busca de patrones sospechosos, como solicitudes a /download.php?file=author.png con parámetros inusuales, también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme la mitigación revisando los logs del servidor y realizando pruebas de penetración.
Actualizar a una versión parcheada o deshabilitar/eliminar el componente vulnerable. Validar y limpiar las entradas del usuario, especialmente el parámetro 'file' en el script '/download.php', para evitar la inyección de código malicioso. Implementar una política de seguridad de contenido (CSP) para mitigar los ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-7149 is a cross-site scripting (XSS) vulnerability in QR Code Generator versions 1.0 through 1.0, allowing attackers to inject malicious scripts via the 'file' parameter in the download endpoint.
You are affected if you are using QR Code Generator versions 1.0 through 1.0 and have not upgraded to version 1.0.1.
Upgrade to version 1.0.1 of QR Code Generator. As a temporary workaround, implement input validation and sanitization on the 'file' parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the VDB entry (VDB-249153) for details and potentially vendor advisories if available.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.