Plataforma
php
Componente
admin-dashboard
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el panel de administración Admin Dashboard versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a la versión 1.0 y ha sido solucionada en la versión 1.0.1.
Un atacante puede explotar esta vulnerabilidad manipulando el parámetro 'username' en el archivo /vendor_management.php. Esto permite la inyección de código JavaScript arbitrario en el contexto del usuario afectado. El impacto puede variar desde el robo de cookies de sesión y la redirección a sitios maliciosos hasta la ejecución de código arbitrario en el navegador del usuario, comprometiendo la seguridad de la aplicación y los datos sensibles. La naturaleza remota de la explotación facilita la propagación del ataque, afectando potencialmente a un gran número de usuarios.
Esta vulnerabilidad ha sido divulgada públicamente el 9 de diciembre de 2024. Aunque la severidad se clasifica como baja (CVSS 3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta falla de manera oportuna. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad pública de la información sobre la vulnerabilidad aumenta el riesgo de ataques.
Organizations utilizing Code-Projects Admin Dashboard for vendor management, particularly those with legacy configurations or shared hosting environments, are at increased risk. Systems where the Admin Dashboard handles sensitive data or provides access to critical resources are especially vulnerable.
• php / server:
grep -r 'username = $_GET' /var/www/html/vendor_management.php• generic web:
curl -I http://your-admin-dashboard.com/vendor_management.php?username=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.18% (40% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Admin Dashboard, que incluye la corrección para la falla XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /vendor_management.php. Además, se puede considerar la implementación de una Web Application Firewall (WAF) con reglas para bloquear la inyección de scripts maliciosos. Verifique después de la actualización que la manipulación del parámetro 'username' no permita la ejecución de código JavaScript.
Actualice el panel de administración a una versión parcheada que solucione la vulnerabilidad XSS. Si no hay una versión disponible, revise y filtre las entradas del usuario en el archivo /vendor_management.php, especialmente el parámetro 'username', para evitar la inyección de código malicioso. Implemente una función de escape o sanitización para limpiar los datos antes de mostrarlos en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12359 is a cross-site scripting vulnerability affecting Code-Projects Admin Dashboard versions 1.0-1.0, allowing attackers to inject malicious scripts via the 'username' parameter in /vendor_management.php.
You are affected if you are using Code-Projects Admin Dashboard versions 1.0 through 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1 or later. As a temporary workaround, implement input validation and output encoding on the 'username' parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Refer to the Code-Projects website or security advisories for the official advisory regarding CVE-2024-12359.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.