Plataforma
php
Componente
online-food-ordering-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema CodeAstro Online Food Ordering System, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos a través de la manipulación del parámetro 'res_id' en el archivo 'dishes.php'. El impacto principal es la posible ejecución de código arbitrario en el navegador de un usuario, comprometiendo su sesión y datos. La versión afectada es 1.0, y la solución recomendada es actualizar a la versión 1.0.1.
La vulnerabilidad XSS en CodeAstro Online Food Ordering System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de cualquier usuario que visite la página vulnerable. Esto podría ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web para engañar a los usuarios. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios y las envíe a un servidor controlado por el atacante. La severidad de este ataque se agrava si el sistema se utiliza para procesar información sensible, como datos de tarjetas de crédito o información personal de los clientes.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la CVSS score es LOW (3.5), la facilidad de explotación y el potencial impacto en los usuarios hacen que sea importante abordar esta vulnerabilidad de manera proactiva. No se han reportado campañas de explotación activas conocidas al momento de la publicación, pero la disponibilidad de la información sobre la vulnerabilidad podría facilitar su explotación por parte de actores maliciosos.
Organizations utilizing CodeAstro Online Food Ordering System version 1.0 for their online food ordering services are at risk. This includes restaurants, cafes, and other food vendors who rely on this system to manage orders and customer interactions. Shared hosting environments where multiple websites share the same server resources are particularly vulnerable, as a compromise of one website could potentially impact others.
• php / web:
grep -r 'res_id' /var/www/html/dishes.php | grep -i '<script' • generic web:
curl -I 'http://your-website.com/dishes.php?res_id=<script>alert(1)</script>' • generic web:
grep -A 10 'res_id' /var/log/apache2/access.log | grep '<script' disclosure
patch
Estado del Exploit
EPSS
0.15% (35% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo 'dishes.php'. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Es crucial revisar y fortalecer las políticas de seguridad del sitio web para prevenir futuros ataques XSS.
Actualizar a una versión parcheada o aplicar la corrección proporcionada por el proveedor. Validar y limpiar las entradas del usuario, especialmente el parámetro 'res_id' en el archivo 'dishes.php', para evitar la inyección de código malicioso. Implementar una política de seguridad de contenido (CSP) para mitigar los ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0423 is a cross-site scripting (XSS) vulnerability affecting CodeAstro Online Food Ordering System versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'res_id' parameter in dishes.php.
You are affected if you are using CodeAstro Online Food Ordering System version 1.0–1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to CodeAstro Online Food Ordering System version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround.
While no active exploitation campaigns have been confirmed, the vulnerability is publicly disclosed and a proof-of-concept exists, increasing the risk of exploitation.
Refer to the vendor's advisory or security bulletin for CodeAstro Online Food Ordering System for detailed information and updates regarding CVE-2024-0423.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.