Plataforma
php
Componente
employee-management-system---stored-xss
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Employee Management System de SourceCodester, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación de parámetros en el archivo edit-profile.php. La explotación exitosa puede llevar a la ejecución de código arbitrario en el navegador de un usuario, comprometiendo la confidencialidad e integridad de la información. La versión afectada es 1.0 y la solución se encuentra disponible en la versión 1.0.1.
La vulnerabilidad XSS en Employee Management System permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario autenticado. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los empleados al ingresar sus datos en el formulario de edición de perfil. La severidad de este ataque se agrava si el sistema Employee Management System se utiliza para almacenar información sensible de los empleados, como datos personales, información financiera o detalles de contacto. El ataque podría ser utilizado para realizar phishing dirigido a los empleados, comprometiendo así la seguridad de toda la organización.
Esta vulnerabilidad ha sido catalogada como problemática (problematic) en la base de datos VDB. La probabilidad de explotación es incierta, pero la naturaleza de la vulnerabilidad XSS la hace potencialmente explotable. No se han reportado campañas de explotación activas conocidas al momento de la publicación. La vulnerabilidad fue publicada el 29 de enero de 2024. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations utilizing SourceCodester Employee Management System, particularly those with limited security controls or those who haven't implemented robust input validation practices, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially impact others.
• php / web:
grep -r "fullname|phone|date of birth|address|date of appointment" /var/www/html/employee_management_system/• generic web:
curl -I http://your-employee-management-system/edit-profile.php?fullname=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.20% (42% percentil)
Vector CVSS
La mitigación principal para CVE-2024-1010 es actualizar a la versión 1.0.1 del Employee Management System, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de validación de entrada en el archivo edit-profile.php para sanitizar los datos proporcionados por el usuario. Esto implica filtrar o escapar cualquier carácter especial que pueda ser interpretado como código JavaScript. Además, se puede considerar la implementación de una Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad. Verifique después de la actualización que la validación de entrada se aplica correctamente y que los datos del usuario se sanitizan antes de ser mostrados en la página.
Actualice a una versión parcheada del sistema de gestión de empleados. Si no hay una versión disponible, revise y filtre las entradas de los campos fullname, phone, date of birth, address y date of appointment en el archivo edit-profile.php para evitar la inyección de código malicioso. Implemente validación y sanitización de datos en el lado del servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1010 is a cross-site scripting (XSS) vulnerability affecting SourceCodester Employee Management System versions 1.0–1.0, allowing attackers to inject malicious scripts through parameter manipulation in edit-profile.php.
You are affected if you are using SourceCodester Employee Management System version 1.0 or 1.0. Check your version and upgrade immediately.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the affected parameters.
No active exploitation campaigns have been widely reported as of the publication date, but the vulnerability is publicly known and could be targeted.
Refer to the VDB entry VDB-252279 for details on this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.