Plataforma
php
Componente
simple-admin-panel
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Simple Admin Panel, afectando a las versiones 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación a través de la manipulación del parámetro 'c_name' en el archivo 'addCatController.php'. La vulnerabilidad se puede explotar de forma remota y podría comprometer la confidencialidad e integridad de los datos del usuario. La versión 1.0.1 corrige esta vulnerabilidad.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la alteración del contenido de la página web o incluso el acceso a información sensible. El impacto potencial es significativo, ya que un atacante podría comprometer la cuenta de un usuario legítimo y utilizarla para realizar acciones maliciosas dentro de la aplicación. La naturaleza remota de la explotación amplía el alcance del riesgo, afectando potencialmente a todos los usuarios de la aplicación.
Esta vulnerabilidad fue publicada el 26 de diciembre de 2024. No se ha reportado explotación activa en campañas conocidas. La puntuación CVSS de 3.5 (LOW) indica una probabilidad de explotación relativamente baja, aunque la facilidad de explotación podría aumentar con la disponibilidad de pruebas de concepto públicas. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Administrators and users of Simple Admin Panel version 1.0 are at risk. This includes organizations using the panel for internal management tasks, as well as shared hosting environments where the panel is deployed alongside other websites. Any system where the addCatController.php file is accessible via a web browser is potentially vulnerable.
• php / server:
grep -r "c_name" /var/www/simple-admin-panel/• generic web:
curl -I http://your-simple-admin-panel/addCatController.php?c_name=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Simple Admin Panel a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo 'addCatController.php'. Además, se pueden utilizar firewalls de aplicaciones web (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Verifique después de la actualización que el parámetro 'c_name' se valida correctamente y que los scripts inyectados no se ejecutan.
Actualice a una versión parcheada o aplique las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del parámetro c_name en el archivo addCatController.php. Valide y escape las entradas del usuario para prevenir ataques XSS. Considere deshabilitar o eliminar el componente si no se puede actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12930 is a cross-site scripting vulnerability affecting Simple Admin Panel version 1.0, allowing attackers to inject malicious scripts via the c_name parameter in addCatController.php.
Yes, if you are using Simple Admin Panel version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to resolve the issue.
Upgrade Simple Admin Panel to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the c_name parameter.
While there is no confirmed active exploitation, the ease of exploitation inherent in XSS vulnerabilities means it could become a target.
Refer to the Simple Admin Panel project's official website or repository for the advisory and release notes for version 1.0.1.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.