Plataforma
php
Componente
vehicle-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Vehicle Management System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a versiones 1.0 y ha sido resuelta en la versión 1.0.1. Se recomienda aplicar la actualización lo antes posible.
La vulnerabilidad XSS en Vehicle Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios o que modifique los datos de facturación. La explotación exitosa podría llevar a la pérdida de control sobre la aplicación y a la exposición de información sensible.
La vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha registrado en el KEV de CISA ni se ha confirmado la explotación activa en campañas conocidas. La divulgación pública implica que existen pruebas de concepto disponibles, lo que facilita a los atacantes la explotación de la vulnerabilidad.
Organizations utilizing the isourcecode Vehicle Management System version 1.0, particularly those with publicly accessible instances or those handling sensitive financial or personal data, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially impact others.
• php / web:
curl -I 'http://your-vehicle-management-system/billaction.php?extra-cost=<script>alert("XSS")</script>' | grep HTTP/1.1• generic web:
grep -i 'extra-cost' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.24% (48% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Vehicle Management System, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro 'extra-cost'. Monitorear los registros de acceso en busca de intentos de inyección de código también puede ayudar a detectar y prevenir ataques.
Actualice a una versión parcheada del sistema de gestión de vehículos. Si no hay una versión disponible, revise y filtre las entradas del parámetro 'extra-cost' en el archivo /billaction.php para evitar la ejecución de código JavaScript malicioso. Implemente validación y saneamiento de entradas para prevenir futuros ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12783 is a cross-site scripting (XSS) vulnerability affecting versions 1.0 of the isourcecode Vehicle Management System, allowing attackers to inject malicious scripts via the /billaction.php file.
You are affected if you are using isourcecode Vehicle Management System version 1.0. Upgrade to version 1.0.1 or later to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1 or later. As a temporary workaround, implement input validation and sanitization on the 'extra-cost' parameter.
While no active exploitation campaigns have been publicly reported, the vulnerability has been disclosed and may be targeted by attackers.
Refer to the isourcecode website or relevant security forums for the official advisory regarding CVE-2024-12783.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.