Plataforma
php
Componente
stock-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el Stock Management System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta el procesamiento del archivo /index.php, específicamente en los parámetros Category Name/Category Description. La versión 1.0.1 ya incluye una corrección.
Un atacante podría explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial es significativo, ya que un atacante podría obtener acceso no autorizado a información sensible o realizar acciones en nombre del usuario afectado. La naturaleza de XSS permite ataques de phishing dirigidos a usuarios específicos dentro de la aplicación, aumentando el riesgo de compromiso.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha identificado como parte del CISA KEV catalog. La disponibilidad de información pública sobre la vulnerabilidad podría facilitar la creación de exploits y su uso en ataques dirigidos. Se recomienda monitorear los sistemas afectados para detectar signos de actividad maliciosa.
Organizations utilizing CodeAstro Stock Management System version 1.0, particularly those with publicly accessible instances or those handling sensitive customer data, are at risk. Shared hosting environments where multiple users share the same instance of the Stock Management System are also particularly vulnerable, as an attacker could potentially compromise other users' accounts.
• php / web: Examine access logs for requests to /index.php with unusual or suspicious parameters in the Category Name/Category Description fields. Use grep to search for patterns indicative of XSS payloads (e.g., <script>alert(1)</script>). • generic web: Use curl/wget to test the /index.php endpoint with various XSS payloads and observe the response for script execution. • wordpress / composer / npm: N/A - This vulnerability is not specific to WordPress, Composer, or npm. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not specific to databases. • windows / supply-chain: N/A - This vulnerability is not specific to Windows or supply-chain components. • linux / server: N/A - This vulnerability is not specific to Linux servers.
disclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
Vector CVSS
La mitigación principal es actualizar el Stock Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Verificar que la aplicación no tenga configuraciones que permitan la ejecución de scripts en el lado del cliente.
Actualizar a una versión parcheada del sistema de gestión de inventario. Si no hay una versión disponible, sanitizar las entradas de usuario en el archivo /index.php, especialmente los campos 'Category Name' y 'Category Description', para evitar la ejecución de código JavaScript malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0958 is a cross-site scripting (XSS) vulnerability in CodeAstro Stock Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the /index.php file.
You are affected if you are using CodeAstro Stock Management System version 1.0–1.0. Upgrade to version 1.0.1 or later to mitigate the risk.
Upgrade to CodeAstro Stock Management System version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround.
While no confirmed exploitation campaigns are currently known, the vulnerability has been publicly disclosed and a proof-of-concept may be available, increasing the risk of exploitation.
Refer to the CodeAstro website or relevant security mailing lists for the official advisory regarding CVE-2024-0958.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.