Plataforma
php
Componente
social-networking-site
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en Social Networking Site versión 1.0. Esta falla permite a un atacante inyectar código malicioso en la página, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a la funcionalidad de la página de mensajes, específicamente al archivo message.php. La versión 1.0.1 ya ha sido publicada para solucionar este problema.
La vulnerabilidad XSS en Social Networking Site permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario legítimo. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de inicio de sesión de los usuarios, permitiéndole acceder a sus cuentas. El impacto se amplifica si la plataforma se utiliza para almacenar información sensible o si tiene una gran base de usuarios, ya que un ataque exitoso podría afectar a un gran número de personas.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la severidad CVSS es LOW (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad pública de la información sobre la vulnerabilidad aumenta la probabilidad de que sea explotada en el futuro.
Users of Social Networking Site versions 1.0 through 1.0 are at risk. This includes websites and applications directly using this component, as well as shared hosting environments where this software might be deployed without proper security configurations. Administrators of such platforms should prioritize patching.
• php / web:
grep -r "Story = $_GET['Story']" /var/www/html/message.php• generic web:
curl -I <social_networking_site_url>/message.php?Story=<xss_payload>• generic web: Check access logs for unusual requests to message.php with suspicious parameters in the Story field. • generic web: Monitor browser console for unexpected JavaScript execution originating from message.php.
disclosure
patch
Estado del Exploit
EPSS
0.12% (31% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0722 es actualizar Social Networking Site a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Implementar políticas de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de contenido que el navegador puede cargar. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a posibles ataques.
Actualizar a una versión parcheada del Social Networking Site. Si no hay una versión disponible, revisar y sanitizar las entradas del parámetro 'Story' en el archivo message.php para evitar la ejecución de código JavaScript malicioso. Implementar validación y escape de datos en el lado del servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0722 is a cross-site scripting (XSS) vulnerability affecting Social Networking Site versions 1.0–1.0. It allows attackers to inject malicious scripts through the 'Story' argument in message.php.
Yes, if you are using Social Networking Site version 1.0 or 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade Social Networking Site to version 1.0.1 or later. As a temporary measure, implement input validation and sanitization on the 'Story' argument.
While no active campaigns have been confirmed, the vulnerability is publicly disclosed and may be targeted by opportunistic attackers. Prompt patching is recommended.
Refer to the vendor's advisory for Social Networking Site, which should be available on their official website or security channels.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.