Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Simple CRUD Functionality, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /index.php y ha sido divulgada públicamente. La versión 1.0.1 ya incluye la corrección.
La vulnerabilidad XSS en Simple CRUD Functionality permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que interactúa con la aplicación. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a información sensible o para realizar acciones en nombre del usuario afectado. La divulgación pública de esta vulnerabilidad aumenta el riesgo de explotación, especialmente si la aplicación se utiliza en entornos de producción sin las medidas de seguridad adecuadas.
La vulnerabilidad CVE-2024-12232 ha sido divulgada públicamente el 5 de diciembre de 2024. Si bien la puntuación CVSS es baja (3.5), la divulgación pública aumenta significativamente el riesgo de explotación. No se han reportado activamente campañas de explotación a gran escala, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial para atacantes. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa.
Simple CRUD Functionality deployments, particularly those using older versions (1.0–1.0) and those without robust input validation mechanisms, are at risk. Shared hosting environments where multiple users share the same server and application instance are also particularly vulnerable.
• php / web:
grep -r "newtitle/newdescr" /index.php• generic web:
curl -I http://your-target-url/index.php?newtitle=<script>alert(1)</script>• generic web:
curl -I http://your-target-url/index.php?newdescr=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.17% (39% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-12232 es actualizar Simple CRUD Functionality a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario en el archivo /index.php. Además, se pueden utilizar Web Application Firewalls (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Es crucial revisar y fortalecer las políticas de seguridad de la aplicación para prevenir futuras vulnerabilidades XSS.
Actualizar o desinstalar Simple CRUD Functionality. Debido a que no hay una versión corregida disponible, la única solución es eliminar el software o aplicar un parche manualmente al archivo /index.php para evitar la vulnerabilidad XSS. Validar y escapar las entradas 'newtitle' y 'newdescr' antes de mostrarlas en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12232 is a cross-site scripting (XSS) vulnerability in Simple CRUD Functionality versions 1.0–1.0, allowing attackers to inject malicious scripts via the newtitle and newdescr parameters in /index.php.
If you are using Simple CRUD Functionality versions 1.0 through 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the newtitle and newdescr parameters.
While active exploitation is not confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Refer to the project's official channels (e.g., GitHub repository, project website) for the latest advisory and updates regarding CVE-2024-12232.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.