Plataforma
php
Componente
mycve
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el Hospital Management System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la página de edición de detalles del doctor, comprometiendo la integridad de la aplicación. La vulnerabilidad afecta a la versión 1.0 y se ha solucionado en la versión 1.0.1. La explotación es pública.
Un atacante puede aprovechar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página de edición de detalles del doctor. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. El impacto potencial incluye la pérdida de confidencialidad, integridad y disponibilidad de la información del paciente y del personal médico. La inyección de scripts podría ser utilizada para realizar phishing dirigido o para comprometer cuentas de usuario con privilegios administrativos.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha identificado como parte del CISA KEV catalog. La disponibilidad de un Proof of Concept (PoC) público facilita la explotación por parte de atacantes con diferentes niveles de habilidad. Se recomienda monitorear activamente los sistemas para detectar signos de explotación.
Healthcare providers and organizations utilizing the Hospital Management System 1.0 are at risk. Specifically, those with limited security resources or those who have not implemented robust input validation practices are particularly vulnerable. Shared hosting environments where multiple users share the same server instance could also be affected, as a successful exploit on one user's account could potentially compromise other accounts.
• generic web: Use curl to test the /hospital/hms/admin/manage-doctors.php endpoint with a malicious payload in the Doctor Name parameter (e.g., <script>alert('XSS')</script>).
curl -X POST -d "Doctor Name=<script>alert('XSS')</script>" http://your-hospital-management-system/hospital/hms/admin/manage-doctors.php• generic web: Examine access and error logs for suspicious requests containing JavaScript code in the Doctor Name parameter.
• generic web: Check response headers for signs of XSS, such as the presence of injected JavaScript code.
• php: Review the source code of /hospital/hms/admin/manage-doctors.php for inadequate input validation and output encoding of the Doctor Name parameter.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el Hospital Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Verifique después de la actualización que la página de edición de detalles del doctor no sea vulnerable a la inyección de scripts.
Actualizar a una versión parcheada del Hospital Management System. Si no hay una versión disponible, sanitizar las entradas del usuario en el archivo manage-doctors.php, especialmente el parámetro Doctor Name, para evitar la ejecución de código JavaScript malicioso. Utilizar funciones de escape específicas para XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12983 is a cross-site scripting (XSS) vulnerability in Hospital Management System 1.0, affecting the Edit Doctor Details Page. Attackers can inject malicious scripts via the Doctor Name parameter.
If you are using Hospital Management System version 1.0, you are potentially affected. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the Doctor Name parameter.
While no active exploitation campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.
Refer to the vendor's official website or security advisory channels for the Hospital Management System for the latest information and updates regarding CVE-2024-12983.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.