Plataforma
other
Componente
student-manage
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la aplicación student-manage, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'Class' en la página de edición de información del estudiante. La vulnerabilidad ha sido divulgada públicamente y puede ser explotada de forma remota. La actualización a la versión 1.0.1 soluciona este problema.
La vulnerabilidad XSS en student-manage permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario legítimo. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el control total de la cuenta del usuario. Un atacante podría, por ejemplo, inyectar un script que envíe las credenciales del usuario a un servidor controlado por él. El impacto se amplifica si la aplicación se utiliza en un entorno de gestión de datos sensibles, ya que un atacante podría acceder a información confidencial de los estudiantes.
La vulnerabilidad CVE-2024-13902 ha sido divulgada públicamente el 6 de marzo de 2025. No se ha añadido a la lista KEV de CISA ni se ha reportado explotación activa a la fecha. La disponibilidad de un PoC público aumenta la probabilidad de que la vulnerabilidad sea explotada en el futuro, especialmente si la aplicación se utiliza en entornos sin las medidas de seguridad adecuadas.
Organizations and individuals using huang-yk student-manage versions 1.0 through 1.0 are at risk. This includes educational institutions, student record management systems, and any application relying on this specific software component. Users who have not implemented robust input validation practices are particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-13902 es actualizar la aplicación student-manage a la versión 1.0.1, que incluye la corrección de la vulnerabilidad XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de scripts. La implementación de una política de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo de XSS al restringir las fuentes de contenido que el navegador puede cargar.
Actualizar a una versión parcheada o aplicar las mitigaciones proporcionadas por el proveedor. Validar y limpiar las entradas del usuario en la página de edición de información del estudiante para evitar la inyección de código malicioso. Implementar una política de seguridad de contenido (CSP) para restringir las fuentes de las que el navegador puede cargar recursos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13902 is a cross-site scripting (XSS) vulnerability affecting versions 1.0–1.0 of huang-yk student-manage, allowing attackers to inject malicious scripts. It has a LOW severity rating.
You are affected if you are using huang-yk student-manage versions 1.0 through 1.0. Upgrade to version 1.0.1 to resolve the vulnerability.
Upgrade to version 1.0.1 of student-manage. As a temporary workaround, implement input validation and output encoding on the 'Class' parameter.
While no active exploitation has been confirmed, the public disclosure of the vulnerability increases the risk of exploitation. Monitor your systems for suspicious activity.
Refer to the huang-yk project's official repository or website for the latest advisory and release notes regarding CVE-2024-13902.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.