Plataforma
php
Componente
maid-hiring-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Maid Hiring Management System, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la página web, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /admin/aboutus.php y ha sido clasificada como problemática. La versión 1.0.1 ya incluye la corrección.
La vulnerabilidad XSS en Maid Hiring Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a la cuenta de administrador, comprometiendo la información sensible de los clientes y la gestión del sistema. El impacto se amplifica si la aplicación se utiliza para almacenar información personal o financiera.
Esta vulnerabilidad fue publicada el 29 de diciembre de 2024. No se ha reportado explotación activa en campañas conocidas. La puntuación CVSS de 2.4 indica un riesgo bajo. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Organizations utilizing the Maid Hiring Management System, particularly those with administrative interfaces accessible over the internet, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "title = $_POST['title']" /var/www/maid-hiring-management-system/• generic web:
curl -I http://<target>/admin/aboutus.php?title=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13017 es actualizar Maid Hiring Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/aboutus.php. Además, se puede considerar la implementación de una Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Verifique después de la actualización que el parámetro 'title' en /admin/aboutus.php no permita la ejecución de scripts.
Actualizar a una versión parcheada del sistema de gestión de contratación de empleadas domésticas. Si no hay una versión disponible, sanitizar la entrada 'title' en el archivo /admin/aboutus.php para evitar la ejecución de código XSS. Escapar o eliminar caracteres especiales antes de mostrar el título en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13017 is a cross-site scripting (XSS) vulnerability affecting PHPGurukul Maid Hiring Management System versions 1.0 through 1.0, allowing attackers to inject malicious scripts.
You are affected if you are using Maid Hiring Management System version 1.0. Check your version and upgrade if necessary.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the 'title' parameter.
As of now, there are no known public exploits or active campaigns targeting this vulnerability, but vigilance is still advised.
Refer to the PHPGurukul website or relevant security forums for the official advisory regarding CVE-2024-13017.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.