Plataforma
php
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en Farmacia, versión 1.0. Esta problemática permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /adicionar-cliente.php y ha sido divulgada públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través de los parámetros 'nome', 'cpf' y 'dataNascimento' en la URL /adicionar-cliente.php. Cuando un usuario afectado visita la página, el script se ejecuta en su navegador, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página. El impacto puede variar desde el robo de información sensible hasta la toma del control de la cuenta del usuario. La naturaleza de XSS permite ataques de phishing dirigidos y la propagación de malware.
Esta vulnerabilidad ha sido divulgada públicamente el 15 de noviembre de 2024. Aunque la severidad CVSS es baja, la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios la convierten en una preocupación. No se ha confirmado explotación activa a la fecha, pero la disponibilidad de la divulgación pública aumenta el riesgo de que se descubran y utilicen exploits. No se ha añadido a KEV.
Small businesses and organizations utilizing Farmacia 1.0 for customer management are at significant risk. Shared hosting environments where Farmacia is installed are particularly vulnerable, as a compromised account on one site can potentially impact others. Users who haven't implemented robust input validation practices are also more susceptible to exploitation.
• wordpress / composer / npm:
grep -r "nome|cpf|dataNascimento" /var/www/farmacia/adicionar-cliente.php• generic web:
curl -I http://your-farmacia-instance.com/adicionar-cliente.php?nome=<script>alert(1)</script>disclosure
patch
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Farmacia a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y el saneamiento de todas las entradas de usuario en el archivo /adicionar-cliente.php para evitar la inyección de código. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Monitorear los registros de acceso y error en busca de intentos de inyección de código también es crucial.
Actualice la aplicación Farmacia a una versión parcheada que solucione la vulnerabilidad XSS. Si no hay una versión parcheada disponible, revise y filtre las entradas de los parámetros 'nome', 'cpf' y 'dataNascimento' en el archivo /adicionar-cliente.php para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11246 is a cross-site scripting (XSS) vulnerability in Farmacia version 1.0, affecting the /adicionar-cliente.php file. Attackers can inject malicious scripts via parameters like 'nome', 'cpf', and 'dataNascimento.'
If you are running Farmacia version 1.0, you are potentially affected. Upgrade to version 1.0.1 to mitigate the risk. Check your installation for the vulnerable file.
Upgrade Farmacia to version 1.0.1. If immediate upgrade isn't possible, implement input validation and output encoding on /adicionar-cliente.php.
While no confirmed active exploitation campaigns are publicly known, the vulnerability is publicly disclosed, increasing the likelihood of exploitation. Automated scanners are likely probing for vulnerable instances.
Refer to the Farmacia project's official advisory for detailed information and updates regarding CVE-2024-11246. Check their website or relevant security channels.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.