Plataforma
php
Componente
cveproject
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Simple Student Attendance System de SourceCodester, específicamente en las versiones 1.0 y 1.0. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en la página de gestión de asistencia. La explotación es pública y puede afectar la integridad de la aplicación y la confidencialidad de los datos de los usuarios. La versión 1.0.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Simple Student Attendance System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página de asistencia. Esto puede llevar a la suplantación de identidad, robo de cookies de sesión, redirección a sitios web maliciosos o la modificación de la apariencia y el comportamiento de la aplicación. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de inicio de sesión de los administradores o profesores, permitiéndoles acceder a información sensible o realizar acciones no autorizadas. La severidad es baja, pero el impacto potencial en la confidencialidad y la integridad de los datos justifica una acción correctiva inmediata.
Esta vulnerabilidad ha sido divulgada públicamente el 23 de febrero de 2024, y un Proof of Concept (PoC) está disponible. Aunque la severidad es baja según el CVSS, la facilidad de explotación y la disponibilidad del PoC aumentan el riesgo de ataques. No se han reportado campañas de explotación activas a la fecha, pero la vulnerabilidad permanece abierta a ataques.
Educational institutions and organizations utilizing the Simple Student Attendance System are at risk, particularly those running version 1.0. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially impact others.
• php: Examine application logs for suspicious requests containing <script> tags or other XSS payloads in the classdate parameter. Use grep to search for patterns like classdate=.<script.> in access logs.
grep 'class_date=.*<script.*' /var/log/apache2/access.log• generic web: Use curl to test the vulnerable endpoint with a simple XSS payload:
curl 'http://example.com/?page=attendance&class_id=1&class_date=2024-02-23%22%3E%3Cscript%3Ealert(1)%3C/script%3E'Inspect the response for the alert(1) popup.
disclosure
Estado del Exploit
EPSS
0.22% (45% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Simple Student Attendance System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de código JavaScript. Monitorear los registros de acceso y error en busca de intentos de explotación también puede ayudar a detectar y responder a ataques.
Actualizar a una versión parcheada del sistema Simple Student Attendance System. Si no hay una versión parcheada disponible, se recomienda validar y escapar correctamente las entradas del usuario, especialmente el parámetro `class_date`, para prevenir la ejecución de código JavaScript malicioso. Considere deshabilitar temporalmente la funcionalidad afectada hasta que se pueda aplicar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1834 is a cross-site scripting (XSS) vulnerability affecting Simple Student Attendance System versions 1.0–1.0, allowing attackers to inject malicious scripts.
You are affected if you are using Simple Student Attendance System version 1.0–1.0. Upgrade to version 1.0.1 to mitigate the risk.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the class_date parameter.
While active exploitation is not currently confirmed, the vulnerability has been publicly disclosed and a proof-of-concept is likely available, increasing the risk of exploitation.
Refer to the vendor's website or security advisories for the latest information and official announcements regarding CVE-2024-1834.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.