Plataforma
php
Componente
cve_hub
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Kashipara Food Management System, afectando a las versiones 1.0 y 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La versión 1.0.1 corrige esta vulnerabilidad y se recomienda su aplicación inmediata.
La vulnerabilidad XSS en Kashipara Food Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, robar las credenciales de un administrador del sistema o modificar los datos de los pedidos de comida. La naturaleza remota de la explotación significa que cualquier usuario que acceda a la aplicación vulnerable está en riesgo, independientemente de su ubicación o privilegios.
Esta vulnerabilidad ha sido divulgada públicamente y se ha asignado el identificador VDB-249837. La disponibilidad de un Proof of Concept (PoC) público aumenta significativamente el riesgo de explotación. La probabilidad de explotación se considera alta debido a la facilidad de explotación y la naturaleza pública de la información disponible. La vulnerabilidad fue publicada el 7 de enero de 2024.
Organizations utilizing Kashipara Food Management System in their operations, particularly those with publicly accessible instances, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of others.
• php / web:
grep -r "tin = [^\"]*" /var/www/kashipara_food_management_system/• generic web:
curl -I http://your-website.com/addmaterialsubmit.php?tin=<script>alert('XSS')</script>• generic web: Check access logs for unusual requests to addmaterialsubmit.php with suspicious parameters in the tin field.
• generic web: Monitor browser console for JavaScript errors related to XSS payloads.
disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0282 es actualizar Kashipara Food Management System a la versión 1.0.1. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo addmaterialsubmit.php. Implementar una Web Application Firewall (WAF) con reglas para bloquear la inyección de scripts puede proporcionar una capa adicional de protección. Verifique que la configuración del servidor web no permita la ejecución de scripts en directorios donde no se espera.
Actualizar Kashipara Food Management System a una versión posterior a la 1.0, si existe, que corrija la vulnerabilidad XSS en el archivo addmaterialsubmit.php. Si no hay una actualización disponible, se recomienda deshabilitar o eliminar el sistema hasta que se publique una solución. Como medida temporal, se puede implementar una validación y limpieza exhaustiva de la entrada 'tin' en addmaterialsubmit.php para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0282 is a cross-site scripting (XSS) vulnerability in Kashipara Food Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'tin' parameter in addmaterialsubmit.php.
You are affected if you are using Kashipara Food Management System version 1.0–1.0. Upgrade to version 1.0.1 or later to mitigate the risk.
Upgrade to Kashipara Food Management System version 1.0.1 or later. As a temporary measure, implement input validation and sanitization on the 'tin' parameter.
Due to the public disclosure of the exploit, there is a high probability that CVE-2024-0282 is being actively exploited.
Unfortunately, a direct link to the official advisory is not available. Consult the vendor's website or security mailing lists for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.