Plataforma
php
Componente
vul
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Employee Profile Management System, específicamente en las versiones 1.0 a 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo editpositionquery.php y se puede explotar remotamente. Una actualización a la versión 1.0.1 soluciona este problema.
La vulnerabilidad XSS en Employee Profile Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web para engañar al usuario. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de inicio de sesión de los empleados o que modifique la información de perfil para fines fraudulentos. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la seguridad de la información confidencial de la empresa y en la reputación de la organización.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La severidad CVSS es LOW (3.5), indicando que la explotación puede requerir ciertas condiciones o interacciones del usuario. No se han reportado campañas de explotación activas conocidas a la fecha, pero la disponibilidad pública de la información sobre la vulnerabilidad podría cambiar esta situación. La vulnerabilidad fue publicada el 2024-01-12.
Organizations utilizing the Employee Profile Management System version 1.0 are at risk. This includes businesses of all sizes that rely on this system for managing employee data. Shared hosting environments are particularly vulnerable, as a compromised account on one site could potentially impact other sites on the same server.
• php / server:
grep -r "pos_name" /path/to/EmployeeProfileManagementSystem/• generic web:
curl -I http://your-employee-profile-system.com/edit_position_query.php?pos_name=<script>alert(1)</script>disclosure
patch
Estado del Exploit
EPSS
0.06% (18% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0467 es actualizar el Employee Profile Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el archivo editpositionquery.php. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts también puede ayudar a mitigar el riesgo. Revise los logs de la aplicación en busca de patrones sospechosos de inyección de código.
Actualice el sistema Employee Profile Management System a una versión parcheada o aplique las correcciones necesarias en el archivo `edit_position_query.php` para evitar la inyección de código (XSS). Escape o filtre adecuadamente la entrada del parámetro `pos_name` antes de mostrarla en la página web. Considere implementar validación del lado del servidor para prevenir ataques similares.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0467 is a cross-site scripting (XSS) vulnerability in Employee Profile Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'pos_name' parameter.
You are affected if you are using Employee Profile Management System version 1.0–1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1 or implement input validation and output encoding on the 'posname' parameter in 'editposition_query.php'.
While no active campaigns are confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the vendor's official advisory for details and updates regarding CVE-2024-0467.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.