Plataforma
php
Componente
zero-day
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en CodeAstro Hospital Management System, específicamente en las versiones 1.0 a 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos. La vulnerabilidad afecta la página 'Add Vendor Details Page' y ha sido divulgada públicamente. Una actualización a la versión 1.0.1 resuelve esta problemática.
La vulnerabilidad XSS en CodeAstro Hospital Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de un administrador al ingresar información de un nuevo proveedor. El impacto se amplifica si la aplicación se utiliza para almacenar información sensible de pacientes, ya que un atacante podría acceder a esta información o modificarla. La explotación exitosa de esta vulnerabilidad podría comprometer la integridad del sistema y la confidencialidad de los datos de los pacientes.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. Aunque el CVSS score es LOW (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad de manera proactiva. No se ha reportado su inclusión en KEV ni la existencia de campañas de explotación activas a la fecha de publicación. La vulnerabilidad fue publicada el 2024-11-26.
Hospitals and healthcare facilities utilizing CodeAstro Hospital Management System version 1.0 are at direct risk. Organizations with legacy configurations or those who haven't implemented robust input validation practices are particularly vulnerable. Shared hosting environments where multiple users share the same server resources could also be affected, as a compromised vendor account could potentially impact other users.
• generic web: Use curl to test the /backend/admin/hisadminadd_vendor.php endpoint with various payloads containing <script>alert(1)</script> to observe reflected XSS.
curl -X POST -d "v_name=<script>alert(1)</script>" http://<target>/backend/admin/his_admin_add_vendor.php• generic web: Examine access and error logs for suspicious requests containing XSS payloads or unusual characters in the vname, vadr, vnumber, vemail, vphone, or vdesc parameters.
• php: Review the source code of /backend/admin/hisadminadd_vendor.php for inadequate input sanitization or output encoding.
disclosure
Estado del Exploit
EPSS
0.13% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-11677 es actualizar CodeAstro Hospital Management System a la versión 1.0.1. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la página 'Add Vendor Details Page'. Implementar una Web Application Firewall (WAF) con reglas para bloquear scripts sospechosos también puede ayudar a mitigar el riesgo. Se recomienda monitorear los registros de la aplicación en busca de patrones de inyección de scripts.
Actualice el sistema de gestión hospitalaria a una versión parcheada o aplique las correcciones de seguridad proporcionadas por el proveedor. Desinfecte las entradas del usuario en el archivo his_admin_add_vendor.php, especialmente los parámetros v_name, v_adr, v_number, v_email, v_phone y v_desc, para evitar la inyección de código XSS. Implemente validación y codificación de datos en el lado del servidor para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11677 is a cross-site scripting (XSS) vulnerability affecting CodeAstro Hospital Management System version 1.0, allowing attackers to inject malicious scripts via vendor details page parameters.
If you are using CodeAstro Hospital Management System version 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to CodeAstro Hospital Management System version 1.0.1 or later. Implement input validation as a temporary workaround if upgrading is not immediately possible.
While no confirmed active exploitation campaigns are currently known, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Please refer to the CodeAstro website or contact their support team for the official advisory regarding CVE-2024-11677.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.