Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación Farmacia versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /vendas.php y se ha confirmado su explotación pública. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Farmacia 1.0 permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, robar información sensible como datos de clientes o historial de compras. El impacto se amplifica si la aplicación Farmacia se utiliza en un entorno de red con múltiples usuarios, ya que un ataque exitoso podría comprometer a todos los usuarios que interactúen con la página vulnerable.
La vulnerabilidad CVE-2024-11997 ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha registrado en el KEV de CISA ni se ha identificado una puntuación EPSS. La disponibilidad de un Proof of Concept (PoC) público facilita la explotación por parte de atacantes con conocimientos técnicos básicos. La fecha de publicación de la vulnerabilidad es el 30 de noviembre de 2024.
Users of Farmacia version 1.0 are directly at risk. Shared hosting environments where Farmacia is installed alongside other applications could also be affected, as a successful exploit could potentially compromise the entire hosting account. Administrators should review all instances of Farmacia to ensure they are patched.
• generic web:
curl -I https://your-farmacia-instance.com/vendas.php?notaFiscal=<script>alert('XSS')</script>• generic web:
grep -r 'notaFiscal' /var/log/apache2/access.log | grep '<script>' # Check for suspicious requestsdisclosure
Estado del Exploit
EPSS
0.14% (35% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-11997 es actualizar la aplicación Farmacia a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /vendas.php. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando el código fuente o realizando pruebas de penetración.
Actualizar o parchear la aplicación Farmacia a una versión que corrija la vulnerabilidad XSS en el archivo /vendas.php. Validar y sanitizar la entrada del argumento notaFiscal para evitar la inyección de código malicioso. Si no hay actualizaciones disponibles, implementar medidas de seguridad adicionales, como el filtrado de entrada y la codificación de salida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11997 is a cross-site scripting (XSS) vulnerability in Farmacia version 1.0, allowing attackers to inject malicious scripts via the notaFiscal parameter in /vendas.php.
Yes, if you are using Farmacia version 1.0, you are affected by this vulnerability and should upgrade immediately.
Upgrade Farmacia to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the notaFiscal parameter.
While no active campaigns are confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the Farmacia project's official website or repository for the advisory related to CVE-2024-11997.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.