Plataforma
php
Componente
house-rental-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema House Rental Management System de SourceCodester, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, comprometiendo la seguridad de los usuarios. La versión afectada es 1.0 y 1.0, y se ha publicado una actualización a la versión 1.0.1 para mitigar este riesgo.
La vulnerabilidad XSS en House Rental Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial, o realizar acciones en nombre del usuario afectado. La manipulación del argumento 'Invoice' es el vector de ataque principal.
Esta vulnerabilidad ha sido divulgada públicamente y se le ha asignado el identificador VDB-250609. La probabilidad de explotación se considera moderada debido a la disponibilidad de la información sobre la vulnerabilidad. No se han reportado campañas de explotación activas a la fecha, pero la naturaleza de las vulnerabilidades XSS las hace susceptibles a ataques oportunistas. La fecha de publicación es 2024-01-13.
Organizations and individuals utilizing the House Rental Management System version 1.0, particularly those handling sensitive tenant or financial data, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromised application could potentially impact other tenants.
• wordpress / composer / npm:
grep -r "Invoice\s*=\s*([^"]+)" /var/www/html/house-rental-management-system/*• generic web:
curl -I http://your-house-rental-system.com/manage_invoice_details.php?Invoice=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.06% (17% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema House Rental Management System a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Verifique que la configuración del sistema permita el saneamiento de entradas de usuario.
Actualizar a una versión parcheada del sistema de gestión de alquileres. Si no hay una versión disponible, sanitizar las entradas del usuario, especialmente el parámetro 'Invoice', para evitar la ejecución de código JavaScript malicioso. Implementar validación y codificación de salida para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0501 is a cross-site scripting (XSS) vulnerability affecting SourceCodester House Rental Management System version 1.0, allowing attackers to inject malicious scripts.
You are affected if you are using House Rental Management System version 1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1. As a temporary measure, implement input validation and output encoding on the Invoice argument.
No active exploitation campaigns have been publicly reported, but the vulnerability is publicly disclosed and a proof-of-concept may be available.
Refer to the SourceCodester website or relevant security advisories for the official advisory regarding CVE-2024-0501.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.