Plataforma
php
Componente
simple-admin-panel
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Simple Admin Panel, afectando a las versiones 1.0 a 1.0. Esta vulnerabilidad reside en el archivo addSizeController.php, donde la manipulación del argumento 'size' permite la inyección de código malicioso. La actualización a la versión 1.0.1 soluciona esta vulnerabilidad, mitigando el riesgo de ataques XSS.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas web de Simple Admin Panel. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el navegador del usuario. El impacto potencial es significativo, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad de la aplicación y los datos asociados. La ejecución de código en el contexto del usuario permite el acceso a información sensible y la manipulación de funcionalidades.
La vulnerabilidad fue publicada el 26 de diciembre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques oportunistas. La baja puntuación CVSS (3.5) indica un riesgo bajo, pero la facilidad de explotación requiere atención. No se ha añadido a KEV.
Organizations and individuals using Simple Admin Panel version 1.0 are at risk. This includes those deploying the panel on shared hosting environments, as the vulnerability can be exploited by other tenants on the same server. Any system where the panel is used to manage sensitive data or user accounts is particularly vulnerable.
• php / server:
find /var/www/html -name 'addSizeController.php' -print0 | xargs -0 grep -i 'size='• generic web:
curl -I http://your-simple-admin-panel/addSizeController.php?size=<script>alert(1)</script>• generic web:
grep -r '<script>' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Simple Admin Panel a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo addSizeController.php. Además, se puede considerar la implementación de políticas de seguridad de contenido (CSP) para restringir las fuentes de scripts que pueden ejecutarse en la aplicación. Monitorear los logs de la aplicación en busca de patrones de inyección de scripts también puede ayudar a detectar y responder a posibles ataques.
Actualizar a una versión parcheada del Simple Admin Panel. Si no hay una versión disponible, revisar y sanitizar las entradas del usuario en el archivo addSizeController.php, especialmente el parámetro 'size', para prevenir la inyección de código malicioso. Escapar la salida HTML también es crucial.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12932 is a cross-site scripting (XSS) vulnerability affecting Simple Admin Panel versions 1.0, allowing attackers to inject malicious scripts.
You are affected if you are using Simple Admin Panel version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade Simple Admin Panel to version 1.0.1 or later. Implement input validation as a temporary workaround if upgrading is not immediately possible.
As of December 26, 2024, there are no confirmed reports of active exploitation, but the vulnerability is publicly known.
Check the official Simple Admin Panel website or GitHub repository for updates and advisories related to CVE-2024-12932.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.