Plataforma
php
Componente
cve_hub
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Food Management System, afectando a las versiones 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La versión 1.0.1 ya incluye una corrección para esta vulnerabilidad. Se recomienda actualizar a la última versión disponible.
La vulnerabilidad XSS en Food Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios o que les redirija a una página de phishing que imite la interfaz del sistema Food Management System. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la seguridad de la aplicación y en la confianza de los usuarios.
La vulnerabilidad CVE-2024-0284 ha sido divulgada públicamente el 7 de enero de 2024. Existe un Proof of Concept (PoC) disponible, lo que aumenta la probabilidad de explotación. La vulnerabilidad ha sido registrada en la base de datos VDB con el identificador VDB-249839. La probabilidad de explotación se considera alta debido a la disponibilidad del PoC y la facilidad de explotación.
Organizations and individuals using Kashipara Food Management System versions 1.0 through 1.0 are at risk. This includes small businesses and non-profit organizations that rely on this system for food management and potentially handle sensitive user data. Shared hosting environments where multiple websites share the same server are particularly vulnerable, as a compromise of one website could potentially impact others.
• php / web:
grep -r "party_address" /var/www/html/party_submit.php• generic web:
curl -I <food_management_system_url>/party_submit.php?party_address=<script>alert(1)</script>• generic web: Check access/error logs for suspicious requests containing <script> tags or other XSS payloads targeting the party_address parameter.
• generic web: Review the application's source code for inadequate input validation and output encoding of user-supplied data.
disclosure
patch
Estado del Exploit
EPSS
0.07% (22% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Food Management System, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Se debe revisar el código fuente en busca de otras posibles vulnerabilidades XSS.
Actualice el sistema Kashipara Food Management System a una versión posterior a la 1.0 o aplique el parche proporcionado por el proveedor para corregir la vulnerabilidad XSS (Cross-Site Scripting) en el archivo party_submit.php. Revise y filtre las entradas del usuario, especialmente el argumento party_address, para evitar la inyección de código malicioso. Implemente medidas de seguridad adicionales, como la codificación de salida, para mitigar el riesgo de ataques XSS (Cross-Site Scripting).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0284 is a cross-site scripting (XSS) vulnerability in Kashipara Food Management System versions 1.0-1.0, allowing attackers to inject malicious scripts.
You are affected if you are using Kashipara Food Management System versions 1.0 through 1.0. Upgrade to 1.0.1 to resolve the issue.
Upgrade to version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround.
While no active exploitation campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk.
Refer to the Kashipara Food Management System documentation or website for the official advisory regarding CVE-2024-0284.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.