Plataforma
php
Componente
land-record-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Land Record System de PHPGurukul, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /index.php y ha sido divulgada públicamente. Una actualización a la versión 1.0.1 soluciona este problema.
La vulnerabilidad XSS en Land Record System permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que interactúa con la aplicación. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un usuario, permitiéndole acceder a su cuenta. El impacto se amplifica si el sistema Land Record System se utiliza para almacenar información sensible sobre la propiedad, ya que un atacante podría manipular esta información o acceder a datos confidenciales.
Esta vulnerabilidad ha sido divulgada públicamente el 31 de diciembre de 2024. Aunque la puntuación CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad pública de la vulnerabilidad aumenta el riesgo de que sea explotada en el futuro. No se ha añadido a KEV.
Organizations and individuals using PHPGurukul Land Record System version 1.0 are at risk. This includes government agencies, land registry offices, and any entity relying on this system for land record management. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's account could potentially impact others.
• php: Examine /index.php for unsanitized usage of the 'searchdata' parameter. Look for patterns where user input is directly outputted to the page without proper encoding.
// Example of vulnerable code
<?php
echo $_GET['searchdata']; ?>• generic web: Check access logs for unusual requests to /index.php with suspicious parameters in the 'searchdata' field. Look for patterns indicative of XSS payloads (e.g., <script> tags, event handlers).
• generic web: Use curl to test the /index.php endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>). Observe the response for JavaScript execution.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13074 es actualizar Land Record System a la versión 1.0.1, que incluye la corrección de la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /index.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en el parámetro 'searchdata'. Verifique después de la actualización que la vulnerabilidad ha sido resuelta revisando el archivo /index.php y asegurándose de que las entradas de usuario se validen correctamente.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la ejecución de código (XSS). Validar y limpiar las entradas del usuario, especialmente el parámetro 'searchdata', antes de mostrarlo en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13074 is a cross-site scripting (XSS) vulnerability in PHPGurukul Land Record System version 1.0, allowing attackers to inject malicious scripts via the 'searchdata' parameter.
You are affected if you are using PHPGurukul Land Record System version 1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1. As a temporary measure, implement input validation and output encoding on the 'searchdata' parameter.
While no active campaigns are confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the PHPGurukul website or security advisories for the official advisory regarding CVE-2024-13074.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.