Plataforma
php
Componente
e-commerce-php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en E-Commerce-PHP, específicamente en las versiones 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la página web, potencialmente comprometiendo la información del usuario y la integridad de la aplicación. La vulnerabilidad afecta al archivo /admin/create_product.php y ha sido divulgada públicamente, sin respuesta por parte del proveedor.
La vulnerabilidad XSS en E-Commerce-PHP permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página afectada. Esto puede resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a cuentas de administrador, robar información confidencial de los clientes, o realizar acciones maliciosas en nombre del usuario. La divulgación pública de esta vulnerabilidad aumenta el riesgo de explotación, especialmente si los sistemas no se actualizan rápidamente.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta significativamente el riesgo de explotación. No se ha registrado en el KEV de CISA ni se ha confirmado su explotación activa a la fecha. La falta de respuesta del proveedor es preocupante y sugiere que la corrección podría tardar en llegar. Se recomienda monitorear la situación y aplicar las mitigaciones disponibles lo antes posible.
E-Commerce-PHP installations, particularly those running version 1.0 and accessible from the public internet, are at risk. Shared hosting environments that utilize E-Commerce-PHP are also vulnerable, as they may not have control over the application's version or configuration.
• php: Examine the /admin/create_product.php file for inadequate input sanitization of the 'Name' parameter.
• generic web: Monitor access logs for requests containing suspicious JavaScript code in the 'Name' parameter.
• generic web: Use a WAF to detect and block requests containing potentially malicious JavaScript payloads.
grep -i 'javascript:;' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13205 es actualizar E-Commerce-PHP a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /admin/create_product.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección XSS. La monitorización de los logs del servidor en busca de patrones sospechosos también puede ayudar a detectar intentos de explotación.
Actualizar a una versión parcheada o aplicar la corrección proporcionada por el proveedor. Si no hay una versión parcheada disponible, sanitizar las entradas del usuario en el campo 'Name' en el archivo /admin/create_product.php para prevenir la inyección de código malicioso. Validar y escapar los datos antes de mostrarlos en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13205 is a cross-site scripting (XSS) vulnerability affecting E-Commerce-PHP version 1.0, allowing attackers to inject malicious scripts via the /admin/create_product.php file.
If you are running E-Commerce-PHP version 1.0, you are potentially affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the 'Name' parameter in /admin/create_product.php.
While no active exploitation campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Consult the E-Commerce-PHP project's official website or repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.