Plataforma
php
Componente
blood-bank-donor-management-system
Corregido en
2.4.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Blood Bank & Donor Management System de PHPGurukul, específicamente en la versión 2.4. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /bbdms/admin/update-contactinfo.php y ha sido corregida en la versión 2.4.1.
La vulnerabilidad XSS en Blood Bank & Donor Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de acceso de los administradores del sistema, permitiéndole obtener control total sobre la base de datos y los datos de los donantes. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la privacidad y seguridad de la información sensible almacenada en el sistema.
La vulnerabilidad CVE-2024-12982 ha sido divulgada públicamente. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. La disponibilidad de un Proof of Concept (PoC) público aumenta el riesgo de explotación.
Organizations utilizing the PHPGurukul Blood Bank & Donor Management System version 2.4, particularly those with limited security resources or those who haven't implemented robust input validation practices, are at significant risk. Healthcare providers and blood banks relying on this system for managing donor information and blood inventory are especially vulnerable.
• php: Examine the /bbdms/admin/update-contactinfo.php file for unsanitized input handling of the Address parameter. Search for instances where user-supplied data is directly outputted to the HTML without proper encoding.
// Example of vulnerable code (simplified)
<?php
echo $_GET['Address']; // Vulnerable to XSS
?>• generic web: Monitor access logs for unusual requests to /bbdms/admin/update-contactinfo.php with suspicious characters in the Address parameter (e.g., <script>, javascript:).
• generic web: Check response headers for signs of script injection (e.g., Content-Security-Policy header missing or improperly configured).
• generic web: Use a web vulnerability scanner to automatically detect XSS vulnerabilities in the application.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-12982 es actualizar el sistema Blood Bank & Donor Management System a la versión 2.4.1 o superior, donde la vulnerabilidad ha sido resuelta. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /bbdms/admin/update-contactinfo.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Monitorear los logs del servidor en busca de patrones sospechosos, como solicitudes con caracteres inusuales en el parámetro 'Address', también puede ayudar a detectar y prevenir ataques.
Actualice a una versión parcheada del sistema de gestión de bancos de sangre y donantes de PHPGurukul. Si no hay una versión parcheada disponible, revise y filtre las entradas del campo 'Address' en el archivo update-contactinfo.php para evitar la ejecución de código XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12982 is a cross-site scripting (XSS) vulnerability in PHPGurukul Blood Bank & Donor Management System 2.4, affecting the /bbdms/admin/update-contactinfo.php file. Attackers can inject malicious scripts via the Address parameter.
You are affected if you are using PHPGurukul Blood Bank & Donor Management System version 2.4. The vulnerability impacts the /bbdms/admin/update-contactinfo.php file.
Upgrade to version 2.4.1. If immediate upgrade is not possible, implement input validation and sanitization on the Address parameter and consider using a WAF.
There are currently no reports of active exploitation campaigns, but a public proof-of-concept is likely to emerge given the vulnerability's nature.
Refer to the PHPGurukul website and security advisories for the latest information regarding CVE-2024-12982 and available patches.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.