Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sitio Hostel Management Site versión 1.0. Esta falla permite a un atacante inyectar código malicioso en las páginas web, comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta al archivo room-details.php y puede ser explotada de forma remota. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante puede aprovechar esta vulnerabilidad de XSS para ejecutar scripts maliciosos en el navegador de cualquier usuario que visite la página web vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial incluye el compromiso de la confidencialidad, integridad y disponibilidad de la información del usuario y del sitio web. La ejecución de código arbitrario en el contexto del usuario permite al atacante realizar acciones en nombre del usuario, como acceder a información sensible o realizar transacciones no autorizadas.
La vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha identificado una puntuación EPSS, pero dada la naturaleza de la vulnerabilidad XSS y su divulgación pública, se considera que presenta un riesgo moderado. No se han reportado campañas de explotación activas conocidas a la fecha de publicación.
Hostel Management Site users running version 1.0 are at direct risk. Shared hosting environments where multiple websites share the same server are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others. Users who have not implemented robust input validation and output encoding practices are also at increased risk.
• php / web:
grep -r "<script" /var/www/html/hostel-management-site/room-details.php• generic web:
curl -I http://your-hostel-site.com/room-details.php?param=<script>alert('XSS')</script>• generic web:
curl 'http://your-hostel-site.com/room-details.php?param=<script>alert(document.domain)</script>' -s -o /dev/null -w '%{http_code}
'disclosure
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.0.1 de Hostel Management Site. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se puede considerar la implementación de políticas de seguridad de contenido (CSP) para restringir las fuentes de scripts que se pueden ejecutar en el navegador. Monitorear los logs del servidor en busca de patrones de inyección de scripts también puede ayudar a detectar y prevenir ataques.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la ejecución de código XSS. Validar y limpiar las entradas de usuario en el archivo room-details.php para evitar la inyección de scripts maliciosos. Considerar la implementación de un framework de seguridad para PHP.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12790 is a cross-site scripting (XSS) vulnerability affecting Hostel Management Site version 1.0, allowing attackers to inject malicious scripts via the room-details.php file.
Yes, if you are running Hostel Management Site version 1.0, you are vulnerable to this XSS attack. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the affected page.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Monitor your systems closely.
Refer to the project's official website or repository for the advisory related to CVE-2024-12790. Check their release notes for details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.