Plataforma
php
Componente
simple-admin-panel
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Simple Admin Panel, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a la funcionalidad del archivo updateItemController.php y se ha solucionado en la versión 1.0.1.
La vulnerabilidad XSS en Simple Admin Panel permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de un administrador al iniciar sesión, permitiéndole tomar el control completo de la aplicación. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la seguridad de la aplicación y sus usuarios.
La vulnerabilidad fue publicada el 26 de diciembre de 2024. No se han reportado campañas de explotación activas conocidas a la fecha. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera baja debido a la baja severidad del CVSS y la falta de un Proof of Concept (PoC) público ampliamente disponible.
Organizations using Simple Admin Panel version 1.0 are at risk. This includes those deploying the panel on shared hosting environments, as vulnerabilities in the panel could potentially impact other websites hosted on the same server. Users who rely on Simple Admin Panel to manage sensitive data or critical system configurations are particularly vulnerable.
• php / web:
curl -s -X POST 'http://your-simple-admin-panel/updateItemController.php?p_name=<script>alert("XSS")</script>&p_desc=test' | grep 'alert("XSS")'• generic web:
curl -s 'http://your-simple-admin-panel/updateItemController.php?p_name=<script>alert("XSS")</script>&p_desc=test' | grep 'alert("XSS")'disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Simple Admin Panel a la versión 1.0.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo updateItemController.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Verifique que la actualización se haya realizado correctamente revisando la versión instalada del panel de administración.
Actualizar a una versión parcheada del Simple Admin Panel. Si no hay una versión disponible, sanitizar las entradas de usuario en `updateItemController.php` para los parámetros `p_name` y `p_desc` para evitar la inyección de código XSS. Utilizar funciones de escape específicas del lenguaje PHP para asegurar que los datos mostrados en la página web sean seguros.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12933 is a cross-site scripting (XSS) vulnerability affecting Simple Admin Panel versions 1.0, allowing attackers to inject malicious scripts.
You are affected if you are using Simple Admin Panel version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade Simple Admin Panel to version 1.0.1 or later. Input validation and WAF rules can be temporary workarounds.
There is currently no evidence of active exploitation campaigns targeting CVE-2024-12933.
Check the Simple Admin Panel project's website or GitHub repository for the official advisory related to CVE-2024-12933.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.