Plataforma
php
Componente
student-study-center-desk-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Student Study Center Desk Management System de SourceCodester, específicamente en las versiones 1.0 y 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /sscdms/classes/Users.php?f=save y ha sido divulgada públicamente. Una actualización a la versión 1.0.1 soluciona este problema.
La vulnerabilidad XSS en Student Study Center Desk Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los estudiantes y enviarlas a un servidor controlado por el atacante. La explotación exitosa de esta vulnerabilidad podría comprometer la información personal de los estudiantes y dañar la reputación de la institución educativa.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la puntuación CVSS es baja (2.4), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad de manera oportuna. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la divulgación pública significa que los atacantes podrían estar buscando activamente esta vulnerabilidad.
Organizations and individuals using the Student Study Center Desk Management System version 1.0 are at risk. This includes educational institutions, libraries, or any entity utilizing this system for desk management. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user could potentially impact others.
• php: Examine the /sscdms/classes/Users.php file for improper input sanitization or output encoding. Search for instances where user-supplied data (firstname, middlename, lastname, username) is directly outputted to the page without proper escaping.
// Example of vulnerable code (simplified)
<?php
echo $_GET['firstname']; // Vulnerable to XSS
?>• generic web: Monitor access logs for requests to /sscdms/classes/Users.php with unusual or suspicious parameters in the firstname, middlename, lastname, or username fields. Look for patterns indicative of XSS attempts (e.g., <script>).
grep 'firstname=.*<script>' access.logdisclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-6807 es actualizar el Student Study Center Desk Management System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se puede considerar el uso de una Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Monitorear los registros de la aplicación en busca de patrones sospechosos también puede ayudar a detectar y responder a los ataques.
Actualice el sistema Student Study Center Desk Management System a una versión posterior a la 1.0, si existe, que corrija la vulnerabilidad de Cross-Site Scripting (XSS). Si no hay una actualización disponible, revise y filtre las entradas de los campos firstname, middlename, lastname y username en el archivo /sscdms/classes/Users.php?f=save para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-6807 is a cross-site scripting (XSS) vulnerability affecting Student Study Center Desk Management System version 1.0, allowing attackers to inject malicious scripts via the /sscdms/classes/Users.php endpoint.
You are affected if you are using Student Study Center Desk Management System version 1.0. Upgrade to version 1.0.1 to resolve the issue.
Upgrade to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the /sscdms/classes/Users.php endpoint.
While no active campaigns have been confirmed, the public disclosure of this vulnerability increases the risk of exploitation.
Refer to the SourceCodester website or relevant security forums for the official advisory regarding CVE-2024-6807.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.