Plataforma
php
Componente
skid-nochizplz
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Computer Inventory System de SourceCodester, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad y la integridad de los datos del usuario. La vulnerabilidad afecta al archivo /endpoint/add-computer.php y ha sido divulgada públicamente, con una solución disponible en la versión 1.0.1.
La vulnerabilidad XSS en Computer Inventory System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que interactúe con la aplicación. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un administrador, permitiéndole acceder a información confidencial o realizar acciones no autorizadas dentro del sistema. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la seguridad de la información almacenada en el sistema de inventario.
Esta vulnerabilidad ha sido divulgada públicamente y se ha asignado el identificador VDB-255381. Si bien la puntuación CVSS es baja (2.4), la facilidad de explotación y la posibilidad de robo de credenciales hacen que sea importante abordar esta vulnerabilidad. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la divulgación pública aumenta el riesgo de que se desarrollen y utilicen exploits.
Organizations utilizing the Computer Inventory System 1.0, particularly those with limited security resources or those who haven't implemented robust input validation practices, are at heightened risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's account could potentially impact others.
• php / web: Examine access logs for requests to /endpoint/add-computer.php with unusual or suspicious parameters.
grep -i 'script|alert' /var/log/apache2/access.log | grep /endpoint/add-computer.php• php / web: Inspect the source code of /endpoint/add-computer.php for missing or inadequate input validation and output encoding.
• generic web: Use curl to test the endpoint with various payloads to identify XSS vulnerabilities.
curl -X POST -d "model=<script>alert('XSS')</script>" http://your-computer-inventory-system/endpoint/add-computer.phpdisclosure
patch
Estado del Exploit
EPSS
0.06% (18% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Computer Inventory System a la versión 1.0.1, que incluye la corrección para la falla XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /endpoint/add-computer.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Monitorear los registros de acceso y error en busca de patrones sospechosos también puede ayudar a detectar intentos de explotación.
Actualizar a una versión parcheada del software. Si no hay una versión disponible, sanitizar la entrada del parámetro 'model' en el archivo add-computer.php para evitar la ejecución de código XSS. Escapar la salida de datos en la plantilla HTML también puede mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-2066 is a cross-site scripting (XSS) vulnerability affecting Computer Inventory System 1.0, allowing attackers to inject malicious scripts via the /endpoint/add-computer.php file.
If you are using Computer Inventory System version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to resolve the issue.
The recommended fix is to upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the vulnerable endpoint.
While no active exploitation campaigns have been publicly reported, the vulnerability has been disclosed, increasing the risk of future attacks.
Refer to the SourceCodester website or their official communication channels for the advisory related to CVE-2024-2066.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.