Plataforma
php
Componente
maid-hiring-management-system
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Maid Hiring Management System de PHPGurukul, específicamente en la versión 1.0 a 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la página Contact Us. La vulnerabilidad afecta a la función del archivo /admin/contactus.php y puede ser explotada de forma remota. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante puede aprovechar esta vulnerabilidad de XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página Contact Us. Esto podría permitir al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o modificar el contenido de la página web. El impacto potencial incluye el robo de información confidencial, la suplantación de identidad y la propagación de malware. Dado que el exploit ya es público, el riesgo de explotación es significativo.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta significativamente el riesgo de explotación. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de un exploit público significa que los atacantes pueden aprovecharla fácilmente. La vulnerabilidad se encuentra en el sistema Maid Hiring Management System, un software de gestión de personal doméstico, lo que podría hacerla un objetivo atractivo para los atacantes.
Organizations using the Maid Hiring Management System, particularly those with administrator accounts accessible via the web interface, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of others.
• php: Examine the /admin/contactus.php file for inadequate input validation on the 'page title' parameter. Search for instances where user-supplied data is directly outputted without proper encoding.
• generic web: Monitor web server access logs for suspicious requests targeting /admin/contactus.php with unusual or encoded 'page title' parameters.
• generic web: Use a web proxy (e.g., Burp Suite) to intercept and analyze requests to /admin/contactus.php, looking for potential XSS payloads in the 'page title' parameter.
disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Maid Hiring Management System a la versión 1.0.1. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/contactus.php. Implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts también puede ayudar. Monitorear los logs del servidor en busca de patrones sospechosos de inyección de código es crucial.
Actualice a una versión parcheada o implemente medidas de saneamiento de entrada en la página de contacto (contactus.php) para evitar la ejecución de código XSS. Valide y escape los datos ingresados por el usuario en el campo 'page title' antes de mostrarlo en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13013 is a cross-site scripting (XSS) vulnerability in PHPGurukul Maid Hiring Management System versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'page title' parameter.
You are affected if you are running Maid Hiring Management System version 1.0–1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the 'page title' parameter in /admin/contactus.php.
While no active campaigns have been confirmed, the vulnerability is publicly disclosed, increasing the risk of exploitation.
Refer to the PHPGurukul website or relevant security mailing lists for the official advisory regarding CVE-2024-13013.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.