Plataforma
php
Componente
land-record-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Land Record System de PHPGurukul, específicamente en las versiones 1.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos. La vulnerabilidad afecta el procesamiento de archivos en /admin/search-property.php y se ha solucionado en la versión 1.0.1.
La vulnerabilidad XSS en Land Record System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede llevar al robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los administradores, permitiéndole acceder al sistema Land Record System con privilegios elevados. El impacto se amplifica si el sistema se utiliza para almacenar información sensible sobre la propiedad, ya que un atacante podría manipular esta información o acceder a datos confidenciales.
La vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La puntuación CVSS de 3.5 (LOW) indica que, aunque la vulnerabilidad es problemática, la probabilidad de explotación es relativamente baja, pero no despreciable. No se ha identificado actividad de explotación activa en campañas conocidas ni se encuentra en el KEV de CISA al momento de la redacción. La fecha de publicación de la vulnerabilidad es 2024-12-31.
Organizations utilizing PHPGurukul Land Record System version 1.0, particularly those with sensitive land record data, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially affect others.
• php: Examine /admin/search-property.php for inadequate input sanitization of the 'Search By' parameter. Search for instances where user input is directly outputted to the browser without proper encoding.
• generic web: Monitor access logs for unusual requests to /admin/search-property.php with suspicious parameters in the 'Search By' field. Look for patterns indicative of XSS attempts (e.g., <script>).
• generic web: Use curl to test the endpoint with a basic XSS payload: curl 'http://<target>/admin/search-property.php?Search By=<script>alert(1)</script>' and observe the response for JavaScript execution.
disclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13082 es actualizar Land Record System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario, especialmente el argumento 'Search By'. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Monitorear los logs del servidor en busca de patrones sospechosos de inyección de scripts también puede ayudar a detectar y responder a ataques.
Actualice a una versión parcheada o aplique las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del parámetro 'Search By' en el archivo /admin/search-property.php. Valide y escape las entradas del usuario para prevenir ataques XSS. Si no hay una versión parcheada disponible, considere deshabilitar o restringir el acceso a la funcionalidad vulnerable hasta que se pueda aplicar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13082 is a cross-site scripting (XSS) vulnerability affecting PHPGurukul Land Record System versions 1.0–1.0, allowing attackers to inject malicious scripts via the /admin/search-property.php file.
You are affected if you are using PHPGurukul Land Record System version 1.0–1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to PHPGurukul Land Record System version 1.0.1 or later. As a temporary measure, implement input validation and output encoding on the 'Search By' parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the PHPGurukul website or security advisories for the official advisory regarding CVE-2024-13082.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.