Plataforma
php
Componente
maid-hiring-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Maid Hiring Management System, específicamente en las versiones 1.0 y 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad se encuentra en el archivo /admin/search-booking-request.php y se puede explotar remotamente. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad de XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario con privilegios de administrador. Esto podría permitir al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o incluso modificar el contenido de la aplicación. El impacto potencial es significativo, ya que un atacante podría obtener acceso no autorizado a información sensible y realizar acciones en nombre del administrador. La inyección de scripts podría comprometer la integridad de los datos de gestión de contrataciones y la seguridad general del sistema.
Esta vulnerabilidad fue publicada el 29 de diciembre de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace inherentemente susceptible a ataques oportunistas. No se encuentra en el KEV de CISA. La disponibilidad de un PoC público podría facilitar la explotación por parte de actores maliciosos.
Organizations utilizing the Maid Hiring Management System version 1.0, particularly those with administrative access exposed through the web interface, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially affect others.
• php / web:
grep -r 'searchdata' /var/www/maid-hiring-management-system/admin/search-booking-request.php• generic web:
curl -I http://your-domain.com/admin/search-booking-request.php?searchdata=<script>alert('XSS')</script>• generic web: Examine access logs for unusual requests to /admin/search-booking-request.php with suspicious parameters in the 'searchdata' field.
disclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Maid Hiring Management System a la versión 1.0.1. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/search-booking-request.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro 'searchdata'. Verifique que la configuración del servidor web no permita la ejecución de scripts en el directorio de la aplicación.
Actualizar a una versión parcheada del sistema de gestión de contratación de empleadas domésticas. Si no hay una versión parcheada disponible, sanitizar las entradas del usuario en el archivo /admin/search-booking-request.php, especialmente el parámetro searchdata, para prevenir la ejecución de código XSS. Utilizar funciones de escape específicas para HTML antes de mostrar los datos en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13015 is a cross-site scripting (XSS) vulnerability affecting PHPGurukul Maid Hiring Management System versions 1.0, allowing attackers to inject malicious scripts via the /admin/search-booking-request.php file.
You are affected if you are using PHPGurukul Maid Hiring Management System version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. If immediate upgrade isn't possible, implement input validation and output encoding on the 'searchdata' parameter.
There are currently no confirmed reports of active exploitation, but the vulnerability is publicly known.
Refer to the PHPGurukul website or their official security advisory channels for the latest information and updates regarding CVE-2024-13015.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.