Plataforma
php
Componente
land-record-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Land Record System de PHPGurukul, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos. La vulnerabilidad se encuentra en el archivo /admin/aboutus.php y se puede explotar de forma remota. La versión 1.0.1 ya incluye la corrección.
Un atacante puede aprovechar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto se amplifica si la aplicación Land Record System se utiliza para almacenar información sensible sobre propiedades o transacciones, ya que un atacante podría manipular esta información o acceder a datos confidenciales. La explotación exitosa podría comprometer la integridad del sistema y la confianza de los usuarios.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la puntuación CVSS es baja (3.5), la facilidad de explotación y el potencial impacto en la integridad de los datos la convierten en una preocupación. No se han reportado campañas de explotación activas conocidas a la fecha de publicación. La vulnerabilidad fue publicada el 31 de diciembre de 2024.
Organizations and individuals using PHPGurukul Land Record System version 1.0 are at risk. This is particularly concerning for those using the system to manage sensitive land records or those with limited security expertise who may not be aware of the vulnerability or how to mitigate it.
• wordpress / composer / npm:
grep -r "Page Description" /var/www/html/admin/aboutus.php• generic web:
curl -I http://your-land-record-system.com/admin/aboutus.php?Page Description=<script>alert('XSS')</script>disclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Land Record System, que incluye la corrección para la vulnerabilidad XSS. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/aboutus.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar y responder a ataques.
Actualice a una versión parcheada o corrija la vulnerabilidad de Cross-Site Scripting (XSS) en el archivo /admin/aboutus.php. Sanitice la entrada del argumento 'Page Description' para evitar la inyección de código malicioso. Consulte las referencias proporcionadas para obtener más detalles sobre la vulnerabilidad y las posibles soluciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13080 is a cross-site scripting (XSS) vulnerability in PHPGurukul Land Record System versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'Page Description' parameter.
You are affected if you are using PHPGurukul Land Record System version 1.0. Check your version and upgrade immediately.
Upgrade to version 1.0.1. If immediate upgrade is not possible, implement input validation and output encoding on the 'Page Description' parameter.
While no active exploitation campaigns are confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the PHPGurukul website or security advisories for the official advisory regarding CVE-2024-13080.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.