Plataforma
php
Componente
land-record-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Land Record System de PHPGurukul, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /admin/admin-profile.php y se ha solucionado en la versión 1.0.1.
Un atacante puede explotar esta vulnerabilidad manipulando el argumento 'Admin Name' en el archivo /admin/admin-profile.php. Esto permite la inyección de código JavaScript arbitrario en el contexto del usuario afectado. El impacto puede variar desde el robo de cookies de sesión y la redirección a sitios maliciosos, hasta la modificación de contenido visible para otros usuarios o la ejecución de acciones en nombre del usuario autenticado. La naturaleza remota de la explotación amplía el alcance del riesgo, ya que no requiere acceso directo al servidor. La divulgación pública de la vulnerabilidad aumenta la probabilidad de explotación.
El CVE-2024-13083 fue publicado el 31 de diciembre de 2024. La vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. No se ha identificado un puntaje EPSS, pero la divulgación pública sugiere un riesgo medio. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la vulnerabilidad la convierte en un objetivo potencial.
Organizations utilizing PHPGurukul Land Record System version 1.0, particularly those with publicly accessible administrative interfaces, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user could potentially impact others.
• php / web:
curl -I 'http://your-land-record-system/admin/admin-profile.php?Admin%20Name=<script>alert(1)</script>' | grep HTTP/1.1• php / web: Examine /admin/admin-profile.php for unsanitized input handling of the 'Admin Name' parameter.
• generic web: Check access logs for unusual requests to /admin/admin-profile.php with suspicious parameters in the Admin Name field.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.0.1 de Land Record System, que incluye la corrección para esta vulnerabilidad de XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas de usuario, especialmente el campo 'Admin Name'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar intentos de explotación.
Actualice a una versión parcheada del software. Si no hay una versión disponible, revise el código en `/admin/admin-profile.php` y asegúrese de escapar correctamente la entrada del usuario en el argumento `Admin Name` para evitar la ejecución de código JavaScript malicioso. Considere deshabilitar temporalmente la funcionalidad hasta que se pueda aplicar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13083 is a cross-site scripting (XSS) vulnerability affecting PHPGurukul Land Record System versions 1.0 through 1.0, allowing attackers to inject malicious scripts.
You are affected if you are running PHPGurukul Land Record System version 1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1 of PHPGurukul Land Record System. As a temporary workaround, implement input validation and sanitization on the Admin Name field.
While there are no confirmed active campaigns, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the PHPGurukul website or security mailing lists for the official advisory regarding CVE-2024-13083.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.