Plataforma
php
Componente
chat-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Chat System versión 1.0. Esta falla permite a un atacante inyectar código malicioso a través de la manipulación del argumento 'id' en el archivo /admin/chatroom.php. La vulnerabilidad afecta a usuarios que interactúan con la interfaz de administración del sistema y ha sido divulgada públicamente. La actualización a la versión 1.0.1 soluciona este problema.
La vulnerabilidad XSS en Chat System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de usuario, robar información confidencial o realizar acciones en nombre del usuario afectado. La inyección de código malicioso podría comprometer la integridad y confidencialidad de los datos almacenados en el sistema.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque el CVSS score es LOW (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios hacen que sea importante abordar esta vulnerabilidad lo antes posible. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la información sobre la vulnerabilidad podría facilitar su explotación por parte de actores maliciosos.
Administrators of Chat System installations, particularly those using version 1.0, are at significant risk. Shared hosting environments where multiple users share the same Chat System instance are also vulnerable, as a compromised account could potentially impact other users.
• php / web:
curl -I 'http://your-chat-system/admin/chatroom.php?id=<script>alert(1)</script>' | grep -i 'content-type'• php / web:
grep -r 'id=' /var/www/html/admin/chatroom.php• generic web:
grep -r 'id=' /var/log/apache2/access.logdisclosure
patch
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Chat System a la versión 1.0.1, que incluye la corrección de la falla XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/chatroom.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Verificar que la actualización se haya aplicado correctamente revisando la versión del sistema después de la instalación.
Actualice a una versión parcheada o implemente medidas de sanitización de entrada en el archivo /admin/chatroom.php para evitar la ejecución de código XSS. Valide y escape las entradas del parámetro 'id' antes de usarlas en el código HTML.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Es una vulnerabilidad de Cross-Site Scripting (XSS) en Chat System 1.0 que permite la ejecución de código malicioso a través de la manipulación del argumento 'id' en /admin/chatroom.php.
Sí, si está utilizando Chat System versión 1.0 y tiene acceso a la interfaz de administración, es vulnerable a esta falla.
Actualice Chat System a la versión 1.0.1. Si no es posible, implemente validación y saneamiento de entradas en /admin/chatroom.php y considere un WAF.
Aunque no se han reportado campañas activas, la divulgación pública aumenta el riesgo de explotación.
Consulte la documentación oficial de Chat System o su sitio web para obtener información sobre la vulnerabilidad y la solución.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.