Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Blood Bank System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta el procesamiento del archivo /controllers/updatesettings.php y se ha corregido en la versión 1.0.1.
La vulnerabilidad XSS en Blood Bank System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. En un escenario de ataque, un atacante podría crear un enlace malicioso que, al ser visitado por un usuario, inyecte un script que robe sus credenciales de acceso al sistema de gestión de la sangre. La falta de validación adecuada de la entrada 'firstname' en el archivo /controllers/updatesettings.php es la causa raíz de esta vulnerabilidad.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un Proof of Concept (PoC) público facilita la explotación por parte de atacantes con conocimientos técnicos básicos. La vulnerabilidad fue publicada el 2024-11-30.
Organizations utilizing the Blood Bank System in environments where user input is not properly sanitized are at risk. This includes deployments with legacy configurations, shared hosting environments where the application shares resources with other potentially compromised websites, and instances where the application handles sensitive patient data.
• php: Examine the /controllers/updatesettings.php file for inadequate input validation on the 'firstname' parameter. Search for instances where user-supplied data is directly outputted to the page without proper encoding.
// Example of vulnerable code
<?php
echo $_GET['firstname']; // No encoding or validation
?>• generic web: Monitor access logs for requests to /controllers/updatesettings.php with suspicious parameters in the 'firstname' field. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:).
grep 'firstname=<script.*</script>' access.log• generic web: Check response headers for the presence of XSS payloads. This can be done by sending a request with an XSS payload in the 'firstname' parameter and examining the response headers for any signs of the payload being reflected. • generic web: Use a vulnerability scanner to scan the application for XSS vulnerabilities. Many scanners have built-in checks for XSS in common web application components.
disclosure
patch
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-12000 es actualizar a la versión 1.0.1 de Blood Bank System. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el archivo /controllers/updatesettings.php. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear inyecciones de scripts puede proporcionar una capa adicional de protección. Revise los logs del servidor en busca de patrones sospechosos de inyección de código.
Actualizar a una versión parcheada del sistema Blood Bank System. Si no hay una versión parcheada disponible, revisar y sanitizar las entradas del usuario en el archivo `/controllers/updatesettings.php`, especialmente el parámetro `firstname`, para prevenir la ejecución de código JavaScript malicioso. Considere deshabilitar temporalmente la funcionalidad afectada hasta que se pueda aplicar una solución adecuada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12000 is a cross-site scripting (XSS) vulnerability affecting versions 1.0 of the Blood Bank System, allowing attackers to inject malicious scripts.
If you are using Blood Bank System version 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. Alternatively, implement input validation and output encoding on the 'firstname' parameter in /controllers/updatesettings.php.
While no active campaigns have been confirmed, the vulnerability is publicly disclosed, increasing the risk of exploitation.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2024-12000.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.