Plataforma
java
Componente
manager-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en studentmanager, versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en la función submitAddPermission del archivo src/main/java/com/zero/system/controller/PermissionController.java. La actualización a la versión 1.0.1 resuelve este problema.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría permitir el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial es significativo, ya que un atacante podría obtener acceso no autorizado a información sensible o realizar acciones en nombre del usuario afectado. La manipulación del argumento 'url' es el vector de ataque principal, y la naturaleza remota de la explotación amplía el alcance del riesgo.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la puntuación CVSS es baja (2.4), la facilidad de explotación y el potencial impacto hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se han reportado campañas de explotación activas conocidas a la fecha de publicación, pero la disponibilidad de la información sobre la vulnerabilidad podría cambiar esto. La fecha de publicación es 2025-01-05.
Educational institutions and organizations utilizing ZeroWdd studentmanager for student data management are at risk. Specifically, deployments with older, unpatched versions (1.0–1.0) are vulnerable. Shared hosting environments where multiple applications share the same server resources could also be affected, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• java / server:
find /path/to/studentmanager/src/main/java/com/zero/system/controller/ -name "PermissionController.java"• generic web:
curl -s -X POST 'http://your-studentmanager-url/submitAddPermission?url=<script>alert(1)</script>' | grep -i alertdisclosure
Estado del Exploit
EPSS
0.11% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.0.1 de studentmanager, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario, especialmente aquellas relacionadas con URLs. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. Verifique después de la actualización que la función submitAddPermission no sea vulnerable a inyecciones XSS.
Actualizar a una versión parcheada de studentmanager que solucione la vulnerabilidad de Cross-Site Scripting (XSS). Contacte al proveedor para obtener la versión corregida o aplique las medidas de seguridad necesarias para evitar la manipulación de la entrada 'url' en la función 'submitAddPermission'.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13143 is a cross-site scripting (XSS) vulnerability in ZeroWdd studentmanager versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'url' parameter.
You are affected if you are using ZeroWdd studentmanager version 1.0–1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1 of ZeroWdd studentmanager. As a temporary workaround, implement input validation and output encoding on the 'url' parameter.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the ZeroWdd project's official website or repository for the latest security advisories and updates related to CVE-2024-13143.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.