Plataforma
php
Componente
zero-day
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en CodeAstro Hospital Management System, específicamente en las versiones 1.0 y 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la página de registro de pacientes, comprometiendo la seguridad de la información sensible. La vulnerabilidad afecta la funcionalidad de la página /backend/admin/hisadminregister_patient.php y ha sido divulgada públicamente, siendo corregida en la versión 1.0.1.
La vulnerabilidad XSS en CodeAstro Hospital Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web y el acceso no autorizado a información confidencial del paciente, como nombres, historial médico y datos de contacto. Un atacante podría explotar esta vulnerabilidad para realizar ataques de phishing dirigidos a personal del hospital o pacientes, comprometiendo aún más la seguridad del sistema. La inyección de scripts podría también ser utilizada para realizar ataques de Cross-Site Request Forgery (CSRF), permitiendo al atacante realizar acciones en nombre del usuario autenticado.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad la convierte en un objetivo atractivo para atacantes. La vulnerabilidad se encuentra en un componente web, lo que facilita su explotación desde cualquier ubicación con acceso a Internet. La clasificación de CVSS de 3.5 (LOW) indica un riesgo relativamente bajo, pero la facilidad de explotación y el potencial impacto en la confidencialidad de los datos del paciente justifican una atención inmediata.
Hospitals and healthcare providers using CodeAstro Hospital Management System version 1.0 are at risk. Organizations relying on this system to manage patient data, particularly those with limited security expertise or outdated infrastructure, are especially vulnerable. Shared hosting environments where multiple applications share the same server resources may also be at increased risk.
• php: Examine the hisadminregisterpatient.php file for unsanitized input handling of patfname, patailment, patlname, patage, patdob, patnumber, patphone, pattype, and pataddr parameters.
// Example: Check for suspicious characters
if (preg_match('/<.*?>/', $_POST['pat_fname'])) {
// Log or block the request
}• generic web: Monitor access logs for requests to /backend/admin/hisadminregister_patient.php containing unusual or encoded characters in the URL parameters.
• generic web: Inspect the HTML source code of the patient details page for any unexpected JavaScript code or event handlers.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-11675 es actualizar CodeAstro Hospital Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la página /backend/admin/hisadminregisterpatient.php. Implementar una Web Application Firewall (WAF) con reglas para bloquear la inyección de scripts puede proporcionar una capa adicional de protección. Monitorear los logs del servidor en busca de patrones sospechosos de inyección de scripts también es crucial. Después de la actualización, verificar la corrección mediante la prueba de la página /backend/admin/hisadminregisterpatient.php con diferentes entradas maliciosas.
Actualizar a una versión parcheada del sistema de gestión hospitalaria CodeAstro. Si no hay una versión disponible, revisar y sanitizar las entradas de usuario en el archivo /backend/admin/his_admin_register_patient.php, específicamente los parámetros pat_fname, pat_ailment, pat_lname, pat_age, pat_dob, pat_number, pat_phone, pat_type y pat_addr, para prevenir la inyección de código XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11675 is a cross-site scripting (XSS) vulnerability in CodeAstro Hospital Management System versions 1.0, allowing attackers to inject malicious scripts via patient data manipulation.
If you are using CodeAstro Hospital Management System version 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the Add Patient Details Page.
While no active exploitation has been confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Please refer to the CodeAstro website or relevant security mailing lists for the official advisory regarding CVE-2024-11675.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.