Plataforma
php
Componente
land-record-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Land Record System de PHPGurukul, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /admin/add-propertytype.php y ha sido publicada públicamente, lo que aumenta el riesgo de explotación. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Land Record System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un administrador, permitiéndole acceder al sistema Land Record System con privilegios elevados. La explotación exitosa podría llevar a la manipulación de registros de tierras, la suplantación de identidad y el acceso no autorizado a información sensible.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. No se ha identificado en el KEV de CISA ni se han reportado campañas de explotación activas a la fecha. La disponibilidad de un Proof of Concept (PoC) público facilita la explotación por parte de atacantes con diferentes niveles de habilidad técnica. La vulnerabilidad fue publicada el 31 de diciembre de 2024.
Organizations using PHPGurukul Land Record System version 1.0, particularly those handling sensitive land records, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of other users' accounts.
• php: Examine the /admin/add-propertytype.php file for unsanitized user input handling. Search for instances where the 'Land Property Type' parameter is directly outputted to the page without proper encoding.
• generic web: Monitor access logs for suspicious requests to /admin/add-propertytype.php with unusual parameters in the 'Land Property Type' field.
• generic web: Use curl to test the endpoint with various payloads: curl 'http://your-land-record-system/admin/add-propertytype.php?Land Property Type=<script>alert("XSS")</script>'
• generic web: Check response headers for the presence of X-XSS-Protection or Content-Security-Policy headers, which can mitigate XSS attacks.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13075 es actualizar Land Record System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento estrictos de todas las entradas de usuario, especialmente el argumento 'Land Property Type'. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de contenido que el navegador puede cargar. Monitorear los registros del servidor en busca de patrones sospechosos, como solicitudes inusuales al archivo /admin/add-propertytype.php, también puede ayudar a detectar y responder a posibles ataques.
Actualice a una versión parcheada o aplique las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del campo 'Land Property Type' en el archivo /admin/add-propertytype.php. Implemente validación y sanitización de entradas en el lado del servidor para prevenir ataques XSS. Considere utilizar funciones de escape específicas del contexto para la salida de datos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13075 is a cross-site scripting (XSS) vulnerability in PHPGurukul Land Record System versions 1.0 through 1.0, allowing attackers to inject malicious scripts.
You are affected if you are using PHPGurukul Land Record System version 1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. If immediate upgrade is not possible, implement input validation and output encoding.
While no active campaigns are currently confirmed, the public disclosure increases the risk of exploitation.
Refer to the PHPGurukul website or security advisories for the official advisory regarding CVE-2024-13075.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.