Plataforma
php
Componente
university-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema University Management System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'Student Name' en el archivo /att_add.php. La vulnerabilidad afecta a la gestión de asistencia y puede tener un impacto significativo en la seguridad de la información del usuario. La versión afectada es 1.0 y la solución es actualizar a la versión 1.0.1.
La vulnerabilidad XSS en University Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial, o incluso comprometer la integridad del sistema. La inyección de scripts podría ser utilizada para realizar ataques de phishing dirigidos a usuarios específicos del sistema, haciéndolos creer que están interactuando con una página legítima.
Esta vulnerabilidad ha sido divulgada públicamente y se considera explotable. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas a la fecha. La vulnerabilidad fue publicada el 7 de febrero de 2024. La divulgación pública aumenta el riesgo de explotación, por lo que se recomienda aplicar la mitigación lo antes posible.
Educational institutions and organizations utilizing CodeAstro University Management System are at risk. Specifically, deployments with weak input validation or those lacking a WAF are particularly vulnerable. Shared hosting environments where multiple users share the same server resources are also at increased risk, as a compromise of one user could potentially lead to the compromise of others.
• php: Examine the /attadd.php file for unsanitized input handling of the 'Student Name' parameter. Search for patterns like htmlspecialchars or striptags which are missing or improperly implemented.
// Example of a vulnerable line
$student_name = $_POST['Student Name'];
echo "Welcome, " . $student_name;• generic web: Monitor access logs for unusual requests to /att_add.php containing suspicious characters or patterns in the 'Student Name' parameter. Look for POST requests with unusually long or encoded values.
grep -i 'Student Name=[^a-zA-Z0-9 ]+' /var/log/apache2/access.log• generic web: Inspect response headers for signs of XSS payloads. Check for unusual JavaScript code being injected into the HTML content.
curl -I https://example.com/att_add.php?Student Name=<script>alert(1)</script>disclosure
poc
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-1265 es actualizar el University Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /att_add.php. Además, se puede considerar la implementación de una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts. Verificar que la actualización se haya aplicado correctamente revisando la versión del sistema después de la instalación.
Actualice el sistema de gestión universitaria a una versión parcheada que solucione la vulnerabilidad XSS en el archivo att_add.php. Verifique las notas de la versión o el registro de cambios para confirmar que la vulnerabilidad CVE-2024-1265 ha sido abordada. Si no hay una versión parcheada disponible, considere implementar medidas de mitigación como la desinfección de entradas en el código att_add.php para evitar la ejecución de scripts maliciosos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1265 is a cross-site scripting (XSS) vulnerability affecting CodeAstro University Management System versions 1.0 through 1.0. It allows attackers to inject malicious scripts via the /att_add.php file.
You are affected if you are using CodeAstro University Management System version 1.0 or 1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the 'Student Name' field.
While no confirmed active exploitation campaigns are known, the vulnerability has been publicly disclosed and a proof-of-concept is available, increasing the likelihood of exploitation.
Please refer to the CodeAstro website or their security advisory page for the official advisory regarding CVE-2024-1265.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.