Plataforma
php
Componente
simple-student-result-management-system
Corregido en
5.6.1
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el sistema Simple Student Result Management System, específicamente en la versión 5.6. Esta falla de seguridad permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'Class Name' en la página '/add_classes.php'. La vulnerabilidad afecta a las versiones 5.6 y ha sido resuelta en la versión 5.6.1.
La vulnerabilidad XSS en Simple Student Result Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios, comprometiendo así la seguridad de la base de datos de estudiantes y resultados. El impacto se amplifica si el sistema se utiliza en un entorno con múltiples usuarios, ya que un único ataque podría afectar a todos los usuarios que interactúen con la página vulnerable.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la CVSS score es baja (2.4), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad de manera proactiva. No se ha reportado explotación activa a la fecha de publicación, pero la disponibilidad de la información pública podría facilitar la identificación y el aprovechamiento de esta falla por parte de actores maliciosos.
Educational institutions and organizations utilizing the Simple Student Result Management System for managing student data are at risk. Specifically, those running version 5.6 without proper input validation or a WAF are particularly vulnerable. Shared hosting environments where multiple users share the same server resources could experience wider impact if one user's account is compromised.
• php / web:
grep -r "<script" /var/www/html/add_classes.php• php / web:
curl -I http://your-server/add_classes.php?Class+Name=<script>alert('XSS')</script>• generic web:
curl -I http://your-server/add_classes.php?Class+Name=<script>alert('XSS')</script> | grep -i 'x-xss-protection'disclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
Vector CVSS
La mitigación principal para CVE-2024-1022 es actualizar el Simple Student Result Management System a la versión 5.6.1 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de validación de entrada en el archivo '/add_classes.php' para sanitizar el argumento 'Class Name' y prevenir la inyección de scripts maliciosos. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Es crucial revisar y fortalecer las políticas de seguridad del sitio web para prevenir futuras vulnerabilidades.
Actualizar a una versión parcheada o aplicar una solución que filtre y escape correctamente las entradas del usuario en el archivo add_classes.php, específicamente el parámetro Class Name, para prevenir ataques XSS. Validar y limpiar las entradas del usuario es crucial. Si no hay una versión parcheada disponible, considere deshabilitar o eliminar la funcionalidad vulnerable hasta que se pueda aplicar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1022 is a cross-site scripting vulnerability affecting versions 5.6 of the Simple Student Result Management System, allowing attackers to inject malicious scripts via the /add_classes.php file.
You are affected if you are using Simple Student Result Management System version 5.6. Upgrade to version 5.6.1 to mitigate the risk.
Upgrade to version 5.6.1. If immediate upgrade isn't possible, implement input validation and sanitization on the 'Class Name' parameter and consider using a WAF.
While active exploitation is not confirmed, the vulnerability has been publicly disclosed and may be targeted by attackers. Vigilance and prompt mitigation are recommended.
Refer to the vendor's official advisory or security bulletin for the Simple Student Result Management System for detailed information and updates regarding CVE-2024-1022.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.