Plataforma
php
Componente
pocs
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Multi Role Login System de SourceCodester, específicamente en las versiones 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en el archivo /endpoint/add-user.php y ha sido divulgada públicamente, lo que aumenta el riesgo de explotación.
La vulnerabilidad XSS en Multi Role Login System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el control total de la cuenta del usuario. Dado que la vulnerabilidad se puede explotar de forma remota, el impacto potencial es significativo, especialmente si el sistema se utiliza para gestionar información sensible o si se integra con otros sistemas críticos. La divulgación pública del exploit aumenta la probabilidad de ataques dirigidos.
Esta vulnerabilidad ha sido divulgada públicamente, lo que significa que los atacantes pueden tener acceso a información sobre cómo explotarla. Aunque la puntuación CVSS es baja (3.5), la facilidad de explotación y la disponibilidad de un exploit público la convierten en un riesgo significativo. No se ha confirmado la explotación activa en campañas conocidas, pero la divulgación pública aumenta la probabilidad de que se utilice en ataques dirigidos o en ataques automatizados.
Organizations utilizing Multi Role Login System version 1.0, particularly those with publicly accessible instances or those handling sensitive user data, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's account could potentially impact others.
• php / web:
grep -r "/endpoint/add-user.php" /var/www/html/*• php / web:
curl -I http://your-website.com/endpoint/add-user.php?name=<script>alert('XSS')</script>• generic web:
grep -r "name=\"" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13069 es actualizar a la versión 1.0.1 de Multi Role Login System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /endpoint/add-user.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar y responder a los ataques.
Actualizar a una versión parcheada o aplicar el parche proporcionado por el proveedor. Validar y limpiar las entradas del usuario, especialmente el parámetro 'name' en el archivo add-user.php, para evitar la inyección de código malicioso. Implementar una política de seguridad de contenido (CSP) para mitigar los ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13069 is a cross-site scripting (XSS) vulnerability affecting Multi Role Login System versions 1.0–1.0, allowing attackers to inject malicious scripts through the /endpoint/add-user.php file.
You are affected if you are using Multi Role Login System version 1.0–1.0. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the 'name' parameter.
While no active exploitation campaigns have been publicly reported, the vulnerability has been disclosed, increasing the risk of exploitation.
Refer to the vendor's website or security advisories for the official advisory regarding CVE-2024-13069.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.