Plataforma
php
Componente
online-job-portal
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el componente 'Manage Walkin Page' del sistema Online Job Portal de SourceCodester, afectando a la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del parámetro 'Job Title' en el archivo /Employer/ManageWalkin.php. La actualización a la versión 1.0.1 resuelve esta vulnerabilidad.
La vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página afectada. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, robar las credenciales de un usuario al interceptar su inicio de sesión o realizar phishing dentro de la aplicación. La explotación exitosa podría comprometer la confidencialidad e integridad de los datos del usuario y del sistema.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha identificado una entrada en el KEV de CISA ni se han reportado campañas de explotación activas a la fecha. La vulnerabilidad ha sido identificada y catalogada en la Vulnerability Database (VDB) con el identificador VDB-254854.
Organizations utilizing SourceCodester Online Job Portal for recruitment and job postings are at risk, especially those with legacy configurations or shared hosting environments where security patching may be delayed. Administrators of these portals should prioritize patching to prevent potential data breaches and user compromise.
• php / web:
curl -I 'http://your-online-job-portal.com/Employer/ManageWalkin.php?Job%20Title=<script>alert(1)</script>' | grep -i 'content-type'• generic web:
grep -i "<script" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el sistema Online Job Portal a la versión 1.0.1, que incluye la corrección para la inyección XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección XSS en el parámetro 'Job Title'.
Actualice a una versión parcheada o implemente una validación y limpieza adecuadas de las entradas del usuario en el archivo ManageWalkin.php, especialmente en el campo Job Title, para evitar la inyección de código XSS. Revise el código fuente para identificar y corregir otras posibles vulnerabilidades XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1919 is a cross-site scripting (XSS) vulnerability affecting SourceCodester Online Job Portal versions 1.0–1.0, allowing attackers to inject malicious scripts via the 'Job Title' parameter.
You are affected if you are using SourceCodester Online Job Portal version 1.0 or 1.0. Check your version and upgrade immediately.
Upgrade to version 1.0.1. If immediate upgrade is not possible, implement input validation and output encoding on the 'Job Title' parameter.
While there's no confirmed active exploitation, the vulnerability has been publicly disclosed and a proof-of-concept may be available, increasing the risk.
Refer to SourceCodester's official website or security advisories for updates and information regarding CVE-2024-1919.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.