Plataforma
php
Componente
zero-day
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Hospital Management System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a las versiones 1.0 a 1.0 y se ha solucionado en la versión 1.0.1.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través de los parámetros patfname, patailment, patlname, patage, patdob, patnumber, patphone, pattype y pataddr en el archivo /backend/doc/hisdocregisterpatient.php. Este código malicioso podría ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web, llevando a la suplantación de identidad o robo de información sensible. La naturaleza remota de la explotación aumenta el riesgo de ataque, ya que no requiere interacción directa del usuario.
La vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha confirmado la explotación activa en campañas específicas, pero la disponibilidad de la información sobre la vulnerabilidad la convierte en un objetivo atractivo para atacantes. La vulnerabilidad fue publicada el 26 de noviembre de 2024.
Healthcare providers and organizations utilizing CodeAstro Hospital Management System, particularly those with legacy configurations or limited security expertise, are at significant risk. Shared hosting environments where multiple applications share the same server resources are also vulnerable, as a compromise of one application could potentially impact others.
• php: Examine the /backend/doc/hisdocregisterpatient.php file for inadequate input sanitization. Search for instances where user-supplied data (patfname, pat_ailment, etc.) is directly outputted to the HTML without proper encoding.
// Example of vulnerable code (DO NOT USE)
<p>Patient Name: <?php echo $_POST['pat_fname']; ?></p>• generic web: Monitor access logs for unusual requests to /backend/doc/hisdocregister_patient.php containing suspicious characters or patterns commonly associated with XSS payloads (e.g., <script>, javascript:, onerror=).
grep -i '<script' /var/log/apache2/access.log• generic web: Check response headers for the presence of X-XSS-Protection or Content-Security-Policy headers. Absence of these headers indicates a lack of basic XSS protection.
curl -I https://your-hospital-management-system.com/backend/doc/his_doc_register_patient.php | grep -i 'X-XSS-Protection'
curl -I https://your-hospital-management-system.com/backend/doc/his_doc_register_patient.php | grep -i 'Content-Security-Policy'disclosure
patch
Estado del Exploit
EPSS
0.10% (27% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el Hospital Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /backend/doc/hisdocregister_patient.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de código. La monitorización de los logs del servidor en busca de patrones de inyección XSS también puede ayudar a detectar y responder a posibles ataques.
Actualizar a una versión parcheada del sistema de gestión hospitalaria. Si no hay una versión parcheada disponible, sanitizar las entradas de los parámetros pat_fname, pat_ailment, pat_lname, pat_age, pat_dob, pat_number, pat_phone, pat_type y pat_addr en el archivo his_doc_register_patient.php para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11678 is a cross-site scripting (XSS) vulnerability in CodeAstro Hospital Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via patient registration fields.
If you are using CodeAstro Hospital Management System version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to CodeAstro Hospital Management System version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround.
While no active exploitation campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Refer to the CodeAstro website or their official security advisory channels for the latest information and updates regarding CVE-2024-11678.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.