Plataforma
php
Componente
vehicle-booking-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Vehicle Booking System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la página de feedback, comprometiendo potencialmente la seguridad de los usuarios. La vulnerabilidad afecta a la versión 1.0 y ha sido solucionada en la versión 1.0.1. Se recomienda actualizar inmediatamente.
La vulnerabilidad XSS en Vehicle Booking System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página de feedback. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página para engañar al usuario. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de acceso del usuario al sistema de reservas. La divulgación pública de esta vulnerabilidad aumenta significativamente el riesgo de explotación.
La vulnerabilidad CVE-2024-0346 fue divulgada públicamente el 9 de enero de 2024. Existe un PoC disponible, lo que indica una alta probabilidad de explotación. No se ha confirmado explotación activa a la fecha, pero la divulgación pública y la disponibilidad de un PoC aumentan significativamente el riesgo. La vulnerabilidad ha sido registrada en la base de datos VDB con el identificador VDB-250114.
Organizations utilizing CodeAstro Vehicle Booking System version 1.0 are at risk. This includes businesses relying on the system for managing vehicle bookings and customer feedback. Shared hosting environments where multiple websites share the same server resources are particularly vulnerable, as a compromise of one website could potentially impact others.
• php: Examine the usr/user-give-feedback.php file for inadequate input validation on the My Testemonial parameter. Search for instances where user-supplied data is directly outputted to the page without proper encoding.
• generic web: Monitor access logs for unusual requests to usr/user-give-feedback.php containing suspicious characters or patterns commonly associated with XSS payloads (e.g., <script>, <iframe>).
• generic web: Check response headers for the presence of Content Security Policy (CSP) directives. A properly configured CSP can mitigate the impact of XSS vulnerabilities.
disclosure
Estado del Exploit
EPSS
0.22% (44% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0346 es actualizar el Vehicle Booking System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la página de feedback. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Después de la actualización, verifique que la vulnerabilidad haya sido corregida intentando inyectar un script de prueba en el campo 'My Testemonial' y confirmando que no se ejecuta.
Actualice el sistema Vehicle Booking System a una versión parcheada que solucione la vulnerabilidad XSS. Si no hay una versión disponible, revise y filtre las entradas del usuario en el archivo usr/user-give-feedback.php, especialmente el argumento 'My Testemonial', para evitar la inyección de código malicioso. Implemente validación y sanitización de datos en el lado del servidor para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0346 is a cross-site scripting (XSS) vulnerability affecting CodeAstro Vehicle Booking System versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'My Testemonial' parameter.
Yes, if you are running CodeAstro Vehicle Booking System version 1.0–1.0, you are vulnerable to this XSS attack. Upgrade to 1.0.1 to mitigate.
The recommended fix is to upgrade to version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding on the 'My Testemonial' parameter.
While no active campaigns have been confirmed, the vulnerability is publicly disclosed, increasing the risk of exploitation. Prompt remediation is advised.
Refer to the CodeAstro website or relevant security advisories for the official advisory regarding CVE-2024-0346.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.