Plataforma
php
Componente
engineers-online-portal
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en Engineers Online Portal versión 1.0. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a la funcionalidad de manejo de la adición de ingenieros. La actualización a la versión 1.0.1 resuelve este problema.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través de los campos de nombre y apellido al agregar un nuevo ingeniero. Este código puede ser ejecutado en el navegador de otros usuarios que visiten la página, permitiendo al atacante robar cookies de sesión, redirigir a sitios web maliciosos o modificar el contenido de la página. El impacto puede variar desde la simple visualización de mensajes emergentes hasta el robo de información confidencial y la toma del control de la cuenta de un usuario. La naturaleza pública del exploit aumenta el riesgo de explotación.
El exploit para esta vulnerabilidad ha sido publicado públicamente, lo que aumenta significativamente el riesgo de explotación. La vulnerabilidad ha sido registrada en la base de datos VDB-249182. La probabilidad de explotación se considera alta debido a la disponibilidad pública del exploit y la baja severidad del CVSS, lo que podría llevar a una subestimación del riesgo.
Organizations using Engineers Online Portal version 1.0, particularly those with limited security controls or those handling sensitive user data, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially impact others.
• php / web:
grep -r '<script>' /var/www/html/engineers_online_portal/• generic web:
curl -I http://your-portal-url.com/add_engineer.php | grep -i content-typedisclosure
patch
Estado del Exploit
EPSS
0.10% (26% percentil)
Vector CVSS
La mitigación principal es actualizar Engineers Online Portal a la versión 1.0.1, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Verifique después de la actualización que la inyección de código no sea posible a través de los campos de nombre y apellido.
Actualizar a una versión parcheada del software. Validar y limpiar las entradas de los campos 'first name' y 'last name' para evitar la inyección de código malicioso. Implementar una política de seguridad de contenido (CSP) para mitigar los ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-7160 is a cross-site scripting (XSS) vulnerability affecting Engineers Online Portal version 1.0, allowing attackers to inject malicious scripts via the Add Engineer Handler.
If you are using Engineers Online Portal version 1.0, you are potentially affected. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the Add Engineer Handler.
While active exploitation is not confirmed, the vulnerability has been publicly disclosed and a proof-of-concept may be available, increasing the likelihood of exploitation.
Refer to the SourceCodester website or relevant security advisories for the official advisory regarding CVE-2023-7160.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.