Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el componente Job Recruitment versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta la funcionalidad del archivo /register.php y se ha solucionado en la versión 1.0.1.
La vulnerabilidad XSS en Job Recruitment permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial, o realizar acciones en nombre del usuario afectado. La explotación exitosa requiere que el atacante pueda manipular el argumento 'role' en el archivo /register.php.
Esta vulnerabilidad ha sido divulgada públicamente el 11 de noviembre de 2024. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la redacción. La disponibilidad pública de la información sobre la vulnerabilidad aumenta el riesgo de explotación, por lo que se recomienda aplicar la mitigación lo antes posible.
Organizations using Job Recruitment version 1.0 are at risk. Shared hosting environments where multiple users share the same instance of Job Recruitment are particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• php / web:
curl -s -X POST -d "e/role=<script>alert(1)</script>" http://your-job-recruitment-server/register.php | grep -i alert• generic web:
curl -s -X POST -d "e/role=<script>alert(1)</script>" http://your-job-recruitment-server/register.php | grep -i alertdisclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Job Recruitment a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /register.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Monitorear los logs de la aplicación en busca de patrones sospechosos, como solicitudes con argumentos 'role' inusuales, también puede ayudar a detectar y prevenir ataques.
Actualizar a una versión parcheada o aplicar una solución que filtre y escape correctamente las entradas del usuario en el archivo /register.php, especialmente los parámetros 'e' y 'role'. Validar y limpiar las entradas antes de mostrarlas en la página para prevenir la ejecución de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11078 is a cross-site scripting (XSS) vulnerability in Job Recruitment version 1.0, affecting the /register.php file. Attackers can inject malicious scripts by manipulating the 'e/role' parameter.
Yes, if you are using Job Recruitment version 1.0, you are affected by this vulnerability. Versions 1.0.1 and later are not vulnerable.
Upgrade Job Recruitment to version 1.0.1 or later. As a temporary workaround, implement input validation and sanitization on the 'e/role' parameter in /register.php.
While there's no confirmed widespread exploitation, the vulnerability is publicly disclosed and a proof-of-concept is likely available, increasing the risk of exploitation.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2024-11078.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.