Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Wazifa System, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /controllers/updatesettings.php y ha sido resuelta en la versión 1.0.1.
La vulnerabilidad XSS en Wazifa System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial o realizar acciones en nombre del usuario. La naturaleza remota de la explotación amplía el potencial de impacto, ya que no requiere interacción directa del usuario más allá de visitar la página vulnerable.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas a la fecha. La disponibilidad de la vulnerabilidad en el dominio público significa que los atacantes pueden desarrollar y desplegar exploits rápidamente.
Organizations and individuals using Wazifa System version 1.0 are at risk. This includes those deploying Wazifa System in production environments, development environments, or testing environments. Shared hosting environments where Wazifa System is installed alongside other applications are particularly vulnerable, as a compromise of one application could potentially lead to the compromise of others.
• php: Examine /controllers/updatesettings.php for improper handling of the 'firstname' parameter. Look for missing or inadequate input sanitization and output encoding.
• generic web: Monitor access logs for unusual requests targeting /controllers/updatesettings.php with suspicious parameters in the 'firstname' field. Use curl to test the endpoint with various payloads.
curl 'http://your-wazifa-system/controllers/updatesettings.php?firstname=<script>alert("XSS")</script>'disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-12001 es actualizar Wazifa System a la versión 1.0.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /controllers/updatesettings.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Verifique después de la actualización que la manipulación del parámetro 'firstname' no permita la ejecución de scripts.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la ejecución de código XSS. Validar y limpiar las entradas del usuario, especialmente el parámetro 'firstname' en el archivo /controllers/updatesettings.php. Implementar una política de seguridad de contenido (CSP) para mitigar los ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12001 is a cross-site scripting (XSS) vulnerability in Wazifa System version 1.0, affecting the /controllers/updatesettings.php file. Attackers can inject malicious scripts via the 'firstname' parameter.
Yes, if you are using Wazifa System version 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 or later to mitigate the risk.
The recommended fix is to upgrade Wazifa System to version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding on the 'firstname' parameter.
While no active campaigns have been definitively linked, the public disclosure of the vulnerability increases the risk of exploitation. Prompt remediation is advised.
Refer to the Wazifa System project's official website or repository for the latest security advisories and updates related to CVE-2024-12001.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.