Plataforma
php
Componente
land-record-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Land Record System de PHPGurukul, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos. La vulnerabilidad afecta a la función desconocida del archivo /admin/add-property.php y se ha solucionado en la versión 1.0.1.
La vulnerabilidad XSS en Land Record System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de inicio de sesión de los administradores del sistema, permitiéndole acceder a información confidencial sobre los registros de tierras. La explotación exitosa podría llevar a la manipulación de datos, la suplantación de identidad y el acceso no autorizado a la aplicación.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas a la fecha. La severidad se evalúa como baja (CVSS 3.5) debido a la necesidad de interacción del usuario para que la vulnerabilidad sea explotada.
Organizations utilizing PHPGurukul Land Record System version 1.0 are at risk. Specifically, those with publicly accessible administrative interfaces or those who haven't implemented robust input validation measures are particularly vulnerable. Shared hosting environments where multiple users share the same server instance are also at increased risk.
• php: Examine the /admin/add-property.php file for unsanitized input handling of the 'Land Subtype' parameter.
• generic web: Monitor access logs for requests to /admin/add-property.php with unusual or suspicious values in the Land Subtype parameter. Use curl to test the endpoint with various payloads: curl 'http://example.com/admin/add-property.php?Land%20Subtype=<script>alert("XSS")</script>'
• generic web: Check response headers for Content-Security-Policy (CSP) directives that could mitigate XSS attacks. curl -I http://example.com/admin/add-property.php
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Land Record System a la versión 1.0.1, que incluye la corrección para la XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/add-property.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar y responder a los ataques.
Actualice a una versión parcheada o aplique las medidas de seguridad necesarias para evitar la ejecución de código XSS. Valide y escape las entradas del usuario, especialmente el parámetro 'Land Subtype' en el archivo add-property.php. Considere implementar una política de seguridad de contenido (CSP) para mitigar los ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13077 is a cross-site scripting (XSS) vulnerability affecting PHPGurukul Land Record System versions 1.0-1.0, allowing attackers to inject malicious scripts via the /admin/add-property.php file.
Yes, if you are running PHPGurukul Land Record System version 1.0, you are affected by this XSS vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to PHPGurukul Land Record System version 1.0.1 or later. As a temporary workaround, implement input validation and sanitization on the Land Subtype field.
While no confirmed active campaigns have been reported, the public disclosure of the vulnerability increases the likelihood of exploitation by opportunistic attackers.
Refer to the PHPGurukul website or security advisories for the official advisory regarding CVE-2024-13077 and the Land Record System.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.