Plataforma
php
Componente
cve_hub
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Kashipara Food Management System, afectando a las versiones 1.0 y 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La versión 1.0.1 corrige esta vulnerabilidad. Se recomienda actualizar lo antes posible.
La vulnerabilidad XSS en Kashipara Food Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser clickeado, ejecute código JavaScript para robar las credenciales de acceso del usuario. La falta de validación adecuada en el parámetro partyname en el archivo partydetails.php es la causa raíz de esta vulnerabilidad.
Esta vulnerabilidad ha sido divulgada públicamente el 7 de enero de 2024, lo que aumenta el riesgo de explotación. Aunque la severidad CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad pública de la información sobre la vulnerabilidad podría cambiar esta situación.
Organizations utilizing the Kashipara Food Management System, particularly those with publicly accessible instances, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• wordpress / composer / npm:
grep -r "party_details.php" ./• generic web:
curl -I http://your-website.com/party_details.php?party_name=<script>alert('XSS')</script>disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0283 es actualizar Kashipara Food Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas de usuario en el lado del servidor y la codificación de la salida para prevenir la ejecución de scripts maliciosos. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso. Después de la actualización, verifique que la vulnerabilidad ya no sea explotable intentando inyectar código JavaScript en el parámetro party_name y confirmando que este código no se ejecuta.
Actualice Kashipara Food Management System a una versión parcheada que solucione la vulnerabilidad XSS (Cross Site Scripting) en party_details.php. Si no hay una versión disponible, revise y filtre las entradas del parámetro party_name para evitar la inyección de código malicioso. Implemente validación y sanitización de datos en el lado del servidor para prevenir ataques XSS (Cross Site Scripting).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0283 is a cross-site scripting (XSS) vulnerability in Kashipara Food Management System versions 1.0–1.0, allowing attackers to inject malicious scripts.
You are affected if you are using Kashipara Food Management System version 1.0 or 1.0. Upgrade to 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. If immediate upgrade is not possible, implement input validation and output encoding on the party_name parameter.
While active exploitation is not confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Refer to the vendor's website or security advisories for the official advisory regarding CVE-2024-0283.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.