Plataforma
php
Componente
land-record-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Land Record System de PHPGurukul, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, comprometiendo potencialmente la confidencialidad e integridad de los datos. La vulnerabilidad reside en el archivo /admin/edit-propertytype.php y se activa mediante la manipulación del argumento Property Type. La versión 1.0.1 ya incluye la corrección.
La vulnerabilidad XSS en Land Record System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los administradores, permitiéndole acceder a información sensible y realizar acciones no autorizadas dentro del sistema de gestión de registros de tierras. La explotación exitosa podría comprometer la integridad de los datos almacenados y la confianza en la aplicación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la CVSS score es LOW (3.5), la facilidad de explotación y el potencial impacto en la confidencialidad e integridad de los datos hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se ha reportado su inclusión en el KEV de CISA ni evidencia de explotación activa a la fecha de publicación. La vulnerabilidad fue publicada el 31 de diciembre de 2024.
Organizations utilizing PHPGurukul Land Record System version 1.0 are at risk, particularly those with publicly accessible administrative interfaces. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromised user account could be used to exploit the vulnerability and potentially impact other users on the same server.
• php: Examine the /admin/edit-propertytype.php file for unsanitized input handling of the 'Property Type' parameter. Search for instances where user input is directly outputted to the page without proper encoding.
grep -r 'Property Type' /var/www/html/admin/edit-propertytype.php• generic web: Monitor access logs for requests to /admin/edit-propertytype.php with unusual or suspicious values in the 'Property Type' parameter. Look for patterns indicative of XSS payloads.
grep 'Property Type=[^a-zA-Z0-9_]' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13076 es actualizar Land Record System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/edit-propertytype.php. Además, se puede considerar la implementación de una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts. Monitorear los registros de la aplicación en busca de patrones sospechosos de inyección de código también es crucial.
Actualice a una versión parcheada del software Land Record System proporcionada por el proveedor. Si no hay una versión parcheada disponible, filtre las entradas del usuario en el parámetro 'Tipo de Propiedad' en el archivo /admin/edit-propertytype.php para evitar la ejecución de código XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13076 is a cross-site scripting (XSS) vulnerability in PHPGurukul Land Record System versions 1.0-1.0, allowing attackers to inject malicious scripts via the /admin/edit-propertytype.php file.
Yes, if you are running PHPGurukul Land Record System version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1 of PHPGurukul Land Record System. If immediate upgrade is not possible, implement input validation and output encoding.
While no active campaigns are currently confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation. Proactive mitigation is recommended.
Please refer to the PHPGurukul website or security advisories for the official advisory regarding CVE-2024-13076.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.