Plataforma
php
Componente
land-record-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Land Record System de PHPGurukul, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar código JavaScript malicioso en la página web, comprometiendo potencialmente la seguridad de los usuarios. La vulnerabilidad afecta al archivo /admin/contactus.php y ha sido divulgada públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Land Record System permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los administradores, permitiéndole acceder al sistema Land Record System con privilegios elevados. La explotación exitosa podría comprometer la integridad de los datos del registro de tierras y la confidencialidad de la información personal de los usuarios.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad la convierte en un objetivo atractivo para los atacantes. La vulnerabilidad fue publicada el 31 de diciembre de 2024. La severidad es baja según el CVSS, pero el impacto potencial en la integridad de los datos justifica una respuesta rápida.
Organizations utilizing PHPGurukul Land Record System version 1.0, particularly those with publicly accessible administrative interfaces, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of the entire system.
• wordpress / composer / npm:
grep -r "Page Description" /var/www/html/admin/contactus.php• generic web:
curl -I http://your-land-record-system.com/admin/contactus.php?Page Description=<script>alert('XSS')</script>disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13081 es actualizar Land Record System a la versión 1.0.1. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la validación y el saneamiento estrictos de todas las entradas de usuario en el archivo /admin/contactus.php. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la vulnerabilidad al restringir las fuentes de las que se pueden cargar los scripts. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de scripts también es crucial.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código malicioso en el campo 'Page Description' del archivo /admin/contactus.php. Validar y escapar correctamente las entradas del usuario para prevenir ataques XSS. Si no hay una versión parcheada disponible, considere deshabilitar o eliminar la funcionalidad vulnerable.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13081 is a cross-site scripting (XSS) vulnerability affecting PHPGurukul Land Record System versions 1.0-1.0, allowing attackers to inject malicious scripts via the /admin/contactus.php file.
You are affected if you are using PHPGurukul Land Record System version 1.0. Check your version and upgrade if necessary.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the 'Page Description' parameter.
While no active campaigns are currently confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the PHPGurukul website or security mailing lists for the official advisory regarding CVE-2024-13081.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.