Plataforma
php
Componente
cve-research
Corregido en
2.0.1
2.1.1
2.2.1
2.3.1
2.4.1
2.5.1
2.6.1
2.7.1
2.8.1
2.9.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en i-Educar, una plataforma de gestión educativa de Portabilis, afectando a las versiones desde 2.0 hasta 2.9. Esta vulnerabilidad permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el manejo del argumento 'name' en la página '/usuarios/tipos/2'. Una actualización a la versión 2.9.1 soluciona este problema.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar scripts arbitrarios en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web, o incluso el acceso a información sensible almacenada en la aplicación. Dado que la explotación es remota, un atacante puede aprovechar esta vulnerabilidad sin necesidad de acceso directo al servidor. La falta de respuesta del proveedor a las notificaciones iniciales aumenta la preocupación sobre la seguridad de la plataforma.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La falta de respuesta del proveedor a las notificaciones iniciales sugiere una posible falta de atención a la seguridad. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la divulgación pública facilita la creación de exploits. Publicada el 2024-12-22.
Educational institutions and organizations utilizing i-Educar for student management are particularly at risk. Those running older, unpatched versions (2.0-2.9) are directly vulnerable. Shared hosting environments where multiple i-Educar instances reside on the same server could experience cascading impacts if one instance is compromised.
• php: Examine i-Educar application logs for suspicious requests targeting the /usuarios/tipos/2 endpoint with unusual parameters in the name field. Use grep to search for patterns like <script> or javascript: in these requests.
grep -i '<script' /var/log/apache2/access.log | grep '/usuarios/tipos/2'• generic web: Use curl to test the /usuarios/tipos/2 endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>). Check the response for the alert box.
curl -X GET 'http://your-i-educar-server/usuarios/tipos/2?name=<script>alert("XSS")</script>' -s• generic web: Review access logs for unusual user agent strings or IP addresses accessing the /usuarios/tipos/2 endpoint.
disclosure
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar i-Educar a la versión 2.9.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario en la página '/usuarios/tipos/2'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el argumento 'name'. Verifique después de la actualización que la página '/usuarios/tipos/2' no permita la ejecución de scripts no deseados al ingresar datos en el campo 'name'.
Actualice i-Educar a una versión posterior a la 2.9 que corrija la vulnerabilidad XSS. Si no hay una versión disponible, revise y filtre las entradas del argumento 'name' en la página Tipo de Usuário para evitar la inyección de código malicioso. Considere implementar validación y saneamiento de entradas en el código.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12893 is a cross-site scripting (XSS) vulnerability affecting Portabilis i-Educar versions 2.0 through 2.9, allowing attackers to inject malicious scripts.
If you are using i-Educar versions 2.0, 2.1, 2.2, 2.3, or 2.4, 2.5, 2.6, 2.7, 2.8, or 2.9, you are potentially affected by this vulnerability.
Upgrade i-Educar to version 2.9.1 or later to remediate the vulnerability. Consider input validation as a temporary workaround.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the Portabilis security advisories page for updates and official information regarding CVE-2024-12893: [https://portabilis.org/security/](https://portabilis.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.