Plataforma
php
Componente
pocs
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en Road Accident Map Marker, versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta al archivo /endpoint/add-mark.php y se ha publicado un PoC, lo que aumenta el riesgo de explotación. La versión 1.0.1 ya incluye la corrección.
La vulnerabilidad XSS en Road Accident Map Marker permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la aplicación. Esto puede llevar al robo de cookies de sesión, redirecciones a sitios maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un usuario o redirigirlo a una página de phishing que imite la apariencia de la aplicación legítima. La explotación exitosa podría resultar en el acceso no autorizado a datos sensibles o el control de la cuenta del usuario.
La vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un Proof of Concept (PoC) facilita la explotación por parte de atacantes con conocimientos técnicos básicos. La fecha de publicación de la vulnerabilidad es 2024-12-29.
Organizations utilizing Road Accident Map Marker version 1.0, particularly those hosting the application on shared hosting environments or with limited security controls, are at increased risk. Applications integrated with Road Accident Map Marker that rely on user-supplied data for mapping functionality are also vulnerable.
• php / web:
grep -r "mark_name/details" /var/www/html/• php / web:
curl -s -X POST -d "mark_name/details=<script>alert('XSS')</script>" http://your-road-accident-map-marker-instance/endpoint/add-mark.php | grep "alert('XSS')"disclosure
Estado del Exploit
EPSS
0.16% (37% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13021 es actualizar Road Accident Map Marker a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /endpoint/add-mark.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro mark_name/details. Verifique que la aplicación esté utilizando las últimas versiones de las bibliotecas PHP para mitigar posibles vulnerabilidades relacionadas.
Actualice a una versión parcheada o desactive el componente. Valide y escape las entradas del usuario en `/endpoint/add-mark.php` para evitar la inyección de código XSS. Revise el código fuente para identificar otros parámetros vulnerables y aplique las mitigaciones necesarias.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13021 is a cross-site scripting (XSS) vulnerability in Road Accident Map Marker versions 1.0, affecting the /endpoint/add-mark.php file. Attackers can inject malicious scripts through parameter manipulation.
You are affected if you are running Road Accident Map Marker version 1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the mark_name/details parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the SourceCodester website or relevant security advisories for the official advisory regarding CVE-2024-13021.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.