Plataforma
php
Componente
online-job-portal
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en SourceCodester Online Job Portal, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la página de gestión de empleos, comprometiendo la seguridad de los usuarios. La versión 1.0.1 ya incluye una corrección para esta vulnerabilidad, y se recomienda actualizar lo antes posible.
La vulnerabilidad XSS en Online Job Portal permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, robar información confidencial de los usuarios, como datos personales o información de contacto. La explotación exitosa de esta vulnerabilidad podría comprometer la integridad y confidencialidad de la plataforma y sus usuarios.
Esta vulnerabilidad ha sido divulgada públicamente y se le ha asignado el identificador VDB-254857. Aunque la severidad es baja (CVSS 3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios hacen que sea importante abordar esta vulnerabilidad. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad pública de la vulnerabilidad aumenta el riesgo de explotación.
Organizations and individuals using SourceCodester Online Job Portal version 1.0 are at risk. This includes small businesses, startups, and job boards that rely on this platform for managing job postings and applicant information. Shared hosting environments where multiple users share the same server are particularly vulnerable, as an attacker could potentially compromise other users' accounts through this vulnerability.
• php: Examine the /Employer/ManageJob.php file for unsanitized input handling of the Qualification/Description parameter. Search for instances where user input is directly outputted to the page without proper encoding.
// Example of vulnerable code
<?php
echo $_GET['Qualification']; ?>• generic web: Monitor access logs for unusual GET requests to /Employer/ManageJob.php with suspicious parameters in the Qualification/Description field. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:).
grep 'Qualification=[^>]+script[^<]' access.log• generic web: Check response headers for the presence of X-XSS-Protection or Content-Security-Policy headers. Absence of these headers indicates a lack of XSS protection. • generic web: Use a web vulnerability scanner to automatically identify and test for XSS vulnerabilities in the Online Job Portal.
disclosure
patch
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.0.1 de Online Job Portal, que incluye la corrección necesaria. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la página de gestión de empleos. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Verifique que la actualización se haya realizado correctamente revisando la versión del software y confirmando que la página de gestión de empleos ya no es vulnerable a la inyección de scripts.
Actualizar a una versión parcheada del software. Si no hay una versión parcheada disponible, sanitizar las entradas de usuario en los campos 'Qualification' y 'Description' en el archivo `/Employer/ManageJob.php` para prevenir la ejecución de código JavaScript malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1922 is a cross-site scripting (XSS) vulnerability affecting SourceCodester Online Job Portal versions 1.0. It allows attackers to inject malicious scripts via the Manage Job Page.
Yes, if you are using SourceCodester Online Job Portal version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.
The recommended fix is to upgrade to version 1.0.1 of SourceCodester Online Job Portal. As a temporary workaround, implement input validation and output encoding.
While no active campaigns have been confirmed, the public disclosure of the vulnerability increases the risk of exploitation. Vigilance and prompt patching are crucial.
Refer to the SourceCodester website or their official communication channels for the advisory related to CVE-2024-1922.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.