Plataforma
java
Componente
bookstore
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Donglight Bookstore电商书城系统说明, específicamente en la versión 1.0.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta la función BookSearchList y se ha confirmado su explotación pública. La versión 1.0.1 ya incluye la corrección.
La vulnerabilidad XSS en Donglight Bookstore电商书城系统说明 permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la aplicación. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los usuarios y las envíe a un servidor controlado por el atacante. El impacto potencial es significativo, especialmente si la aplicación maneja información sensible o se utiliza para transacciones financieras. La explotación exitosa podría comprometer la confianza de los usuarios y dañar la reputación del proveedor del software.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha identificado como parte del CISA KEV catalog. La disponibilidad de un Proof of Concept (PoC) público facilita la explotación por parte de atacantes con diferentes niveles de habilidad. La fecha de publicación de la vulnerabilidad es el 2025-01-09.
Organizations and individuals using the Donglight Bookstore电商书城系统说明 software, particularly those with publicly accessible instances and those who haven't implemented robust input validation practices, are at risk. Shared hosting environments where multiple users share the same instance of the software are also particularly vulnerable.
• java / server:
grep -r 'BookSearchList.java' /path/to/donglight/bookstore/• generic web:
curl -I https://your-bookstore-url.com/booksearch?keywords=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.16% (37% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Donglight Bookstore电商书城系统说明, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Monitorear los registros de la aplicación en busca de patrones sospechosos también puede ayudar a detectar y responder a los ataques.
Actualizar a una versión parcheada del software. Contacte al proveedor para obtener la versión corregida o aplique las medidas de seguridad recomendadas para mitigar la vulnerabilidad XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13196 is a cross-site scripting (XSS) vulnerability in Donglight Bookstore电商书城系统说明 versions 1.0.0-1.0.0, allowing attackers to inject malicious scripts.
If you are using Donglight Bookstore电商书城系统说明 version 1.0.0, you are potentially affected by this vulnerability.
Upgrade to version 1.0.1 of Donglight Bookstore电商书城系统说明 to resolve the vulnerability. Input validation is a temporary workaround.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Active exploitation is possible.
Refer to the vendor's official advisory for Donglight Bookstore电商书城系统说明 for detailed information and updates regarding CVE-2024-13196.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.