Plataforma
php
Componente
crud-without-refresh-reload-reflected_xss-poc
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el componente CRUD without Page Reload de SourceCodester, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo fetch_data.php y ha sido divulgada públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en CRUD without Page Reload permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que interactúa con la aplicación. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. Un atacante podría explotar esta vulnerabilidad para realizar ataques de phishing dirigidos a usuarios específicos o para comprometer la seguridad de toda la aplicación. La manipulación de los parámetros 'username' o 'city' en el archivo fetch_data.php es el vector de ataque principal.
Esta vulnerabilidad ha sido divulgada públicamente el 3 de febrero de 2024. No se ha reportado su inclusión en el KEV de CISA ni se han observado campañas de explotación activas a la fecha. La disponibilidad de un PoC público aumenta el riesgo de explotación, por lo que se recomienda aplicar las mitigaciones lo antes posible.
Organizations utilizing SourceCodester CRUD without Page Reload in their web applications, particularly those handling sensitive user data or integrated with other critical systems, are at risk. Shared hosting environments where multiple users share the same server resources are also at increased risk, as a compromise of one user's application could potentially impact others.
• php / server:
grep -r "username/city" /var/www/html/fetch_data.php• generic web:
curl -I http://your-website.com/fetch_data.php?username/city=<script>alert('XSS')</script>disclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de CRUD without Page Reload. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo fetch_data.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Monitorear los logs de la aplicación en busca de patrones sospechosos también puede ayudar a detectar y prevenir ataques.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código XSS. Validar y limpiar las entradas del usuario en el archivo fetch_data.php, especialmente los parámetros username y city. Implementar una política de seguridad de contenido (CSP) para mitigar los ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1215 is a cross-site scripting (XSS) vulnerability affecting SourceCodester CRUD without Page Reload versions 1.0–1.0. It allows attackers to inject malicious scripts via the username/city parameter.
You are affected if you are using SourceCodester CRUD without Page Reload version 1.0–1.0. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the username/city parameter.
While the vulnerability has been publicly disclosed, there are no confirmed reports of active exploitation at this time. Monitor security advisories for updates.
Refer to the SourceCodester website or relevant security databases for the official advisory regarding CVE-2024-1215.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.