Plataforma
php
Componente
online-exam-mastering-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Online Exam Mastering System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo /sign.php?q=account.php, donde la manipulación de parámetros como name, gender y college puede desencadenar la ejecución del script. La versión 1.0.1 ya incluye la corrección.
La explotación exitosa de esta vulnerabilidad XSS podría permitir a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. Dado que la vulnerabilidad se encuentra en un sistema de exámenes en línea, el impacto podría ser particularmente grave, ya que un atacante podría comprometer la integridad de los exámenes y obtener acceso no autorizado a los resultados. La manipulación de los parámetros 'name', 'gender' y 'college' en la URL es el vector de ataque principal, lo que facilita la explotación.
Esta vulnerabilidad ha sido divulgada públicamente el 22 de diciembre de 2024. Aunque la CVSS score es LOW (3.5), la naturaleza de XSS significa que el impacto puede ser significativo si se explota con éxito. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad pública de la vulnerabilidad aumenta el riesgo de explotación futura. Es importante aplicar la mitigación lo antes posible.
Educational institutions and organizations using the Online Exam Mastering System for online assessments are at risk. Specifically, those running version 1.0 of the system are vulnerable. Shared hosting environments where multiple users share the same server instance could also be affected, as a compromised user account could potentially be used to launch attacks against other users.
• php / web:
curl -I 'http://your-target-domain.com/sign.php?q=account.php?name=<script>alert(1)</script>' | grep -i 'content-type'• php / web: Examine the source code of /sign.php for missing or inadequate input validation on the name, gender, and college parameters.
• generic web: Monitor web server access logs for unusual requests to /sign.php?q=account.php with suspicious parameters.
• generic web: Use a browser developer console to check for unexpected JavaScript execution when accessing /sign.php?q=account.php.
disclosure
Estado del Exploit
EPSS
0.14% (35% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema Online Exam Mastering System a la versión 1.0.1, que incluye la corrección de seguridad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /sign.php?q=account.php. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar y responder a ataques.
Actualice a una versión parcheada o desactive el sistema. Como no hay una versión parcheada disponible, revise y filtre las entradas de los campos 'name', 'gender' y 'college' en el archivo /sign.php?q=account.php para evitar la inyección de código malicioso. Implemente validación y saneamiento de entradas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12892 is a cross-site scripting (XSS) vulnerability in Online Exam Mastering System versions 1.0-1.0, affecting the /sign.php?q=account.php endpoint. Attackers can inject malicious scripts by manipulating parameters.
You are affected if you are using Online Exam Mastering System version 1.0. Check your version and upgrade if necessary.
Upgrade to version 1.0.1 or later. Implement input validation and output encoding as a temporary workaround.
While no active campaigns have been publicly reported, the vulnerability has been disclosed and may be exploited.
Refer to the vendor's official website or security advisory channels for the latest information regarding CVE-2024-12892.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.