Plataforma
php
Componente
product-management-system-using-php-and-mysql-reflected-xss-poc
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el Product Management System de SourceCodester, versiones 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /supplier.php y ha sido divulgada públicamente, por lo que se recomienda actualizar a la versión 1.0.1.
La vulnerabilidad XSS en Product Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser clickeado, ejecute un script que robe las credenciales de acceso del usuario. La divulgación pública de esta vulnerabilidad aumenta significativamente el riesgo de explotación, ya que facilita la creación de exploits y ataques automatizados.
Esta vulnerabilidad ha sido divulgada públicamente el 7 de febrero de 2024, lo que aumenta la probabilidad de explotación. Aunque la CVSS score es baja (2.4), la facilidad de explotación y la divulgación pública la convierten en un riesgo significativo. No se ha reportado explotación activa a la fecha, pero la disponibilidad de la información sobre la vulnerabilidad facilita su uso por parte de atacantes.
Organizations and individuals using SourceCodester Product Management System version 1.0 are at risk. This includes small businesses and startups that may rely on this system for managing their product inventory and customer data. Shared hosting environments are particularly vulnerable as they often have limited control over the underlying server configuration.
• php / web: Examine access logs for requests to /supplier.php with unusual or excessively long suppliername or suppliercontact parameters. Use grep to search for suspicious JavaScript code within the application's output.
• generic web: Use curl to test the /supplier.php endpoint with a payload like <script>alert(1)</script> in the supplier_name parameter. Check the response for the alert box.
curl -X POST -d "supplier_name=<script>alert(1)</script>" http://your-product-management-system/supplier.phpdisclosure
patch
Estado del Exploit
EPSS
0.32% (55% percentil)
Vector CVSS
La mitigación principal para CVE-2024-1269 es actualizar a la versión 1.0.1 del Product Management System. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /supplier.php. Además, se recomienda implementar una Web Application Firewall (WAF) que pueda detectar y bloquear intentos de inyección de scripts maliciosos. Revise los logs de acceso y error en busca de patrones sospechosos relacionados con la manipulación de parámetros.
Actualizar a una versión parcheada del Product Management System. Si no hay una versión parcheada disponible, sanitizar las entradas de los parámetros `supplier_name` y `supplier_contact` en el archivo `/supplier.php` para evitar la ejecución de código JavaScript malicioso. Validar y escapar las salidas también puede mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1269 is a cross-site scripting (XSS) vulnerability affecting SourceCodester Product Management System versions 1.0-1.0, allowing attackers to inject malicious scripts.
Yes, if you are using SourceCodester Product Management System version 1.0 or 1.0, you are vulnerable to this XSS attack.
Upgrade to version 1.0.1. If immediate upgrade isn't possible, implement input validation and sanitization on the suppliername and suppliercontact parameters.
While active exploitation is not confirmed, the vulnerability has been publicly disclosed and a proof-of-concept may be available, increasing the risk.
Refer to the SourceCodester website or relevant security databases for the official advisory regarding CVE-2024-1269.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.