Plataforma
php
Corregido en
3.3.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema DBShop商城系统, específicamente en las versiones 3.3 Release 231225 hasta la 3.3 Release 231225. Esta vulnerabilidad permite a un atacante inyectar código malicioso en la página web, comprometiendo la seguridad de los usuarios. La actualización a la versión 3.3.1 soluciona este problema.
La vulnerabilidad XSS en DBShop商城系统 permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que visite una página web comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El atacante podría, por ejemplo, robar información sensible como credenciales de usuario o detalles de la orden. La explotación exitosa de esta vulnerabilidad podría comprometer la integridad y confidencialidad de los datos almacenados en el sistema.
La vulnerabilidad ha sido divulgada públicamente y existe un Proof of Concept (PoC) disponible, lo que aumenta el riesgo de explotación. La falta de respuesta del proveedor a las notificaciones sobre la vulnerabilidad también es preocupante. La probabilidad de explotación se considera alta debido a la facilidad de explotación y la disponibilidad de un PoC.
Organizations and individuals using DBShop商城系统 versions 3.3 Release 231225 through 3.3 are at risk. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a successful attack on one user's account could potentially compromise other users on the same server.
• php: Examine application logs for suspicious requests to /home-order containing unusual characters or HTML tags in the orderStatus parameter.
grep 'orderStatus=.*<script.*onload=.*' /var/log/apache2/access.log• generic web: Use curl to test the /home-order endpoint with a simple XSS payload and observe the response for signs of script execution.
curl 'http://<target>/home-order?orderStatus=<script>alert(1)</script>' • generic web: Check the source code of /home-order for inadequate input sanitization or output encoding of the orderStatus parameter.
disclosure
Estado del Exploit
EPSS
0.20% (42% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar DBShop商城系统 a la versión 3.3.1, que incluye la corrección para la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso. Verifique después de la actualización que la inyección de código malicioso a través del parámetro orderStatus ya no sea posible.
Actualizar a una versión parcheada o aplicar una solución que filtre o escape correctamente la entrada del usuario en el parámetro orderStatus del archivo /home-order para evitar la ejecución de código JavaScript malicioso. Debido a que el proveedor no ha respondido, se recomienda contactar con la comunidad para obtener un parche no oficial o implementar una solución personalizada. Validar y limpiar todas las entradas del usuario es una buena práctica de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12991 is a cross-site scripting (XSS) vulnerability affecting DBShop商城系统 versions 3.3 Release 231225–3.3, allowing attackers to inject malicious scripts.
You are affected if you are using DBShop商城系统 versions 3.3 Release 231225 through 3.3. Upgrade to 3.3.1 to mitigate the risk.
Upgrade DBShop商城系统 to version 3.3.1 or later. Implement input validation and output encoding as a temporary workaround.
While no active campaigns are confirmed, the vulnerability is publicly disclosed, increasing the risk of exploitation.
Contact the vendor directly as they have not responded to early disclosure attempts. Check their official website or support channels for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.