Plataforma
php
Componente
aureuserp/aureuserp
Corregido en
1.3.0-BETA1
1.3.0-BETA1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Aureus ERP hasta la versión 1.2.0. Esta falla permite a un atacante ejecutar scripts maliciosos en el contexto del navegador de un usuario, comprometiendo potencialmente la confidencialidad e integridad de la información. La vulnerabilidad reside en el archivo plugins/webkul/chatter/resources/views/filament/infolists/components/messages/content-text-entry.blade.php y afecta a la gestión de mensajes. La actualización a la versión 1.3.0-BETA1 resuelve este problema.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través de la manipulación de los parámetros 'subject' o 'body' en el componente Chatter Message Handler. Este código se ejecutará en el navegador de la víctima cuando vea el mensaje, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos, o modificar el contenido de la página web. El impacto puede variar desde el robo de información sensible hasta la toma del control completo de la cuenta del usuario. La naturaleza de XSS permite ataques de phishing dirigidos y la posible exfiltración de datos confidenciales almacenados en la aplicación.
Esta vulnerabilidad fue publicada el 16 de marzo de 2026. No se ha reportado su explotación activa en campañas conocidas. No se encuentra listada en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación, por lo que se recomienda monitorear las fuentes de seguridad en busca de información actualizada.
Organizations using Aureus ERP versions 1.2.0 and earlier, particularly those with a significant user base or that handle sensitive data within the application, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a successful attack could potentially compromise other users on the same server.
• php: Examine the plugins/webkul/chatter/resources/views/filament/infolists/components/messages/content-text-entry.blade.php file for any modifications or suspicious code.
find /var/www/html/plugins/webkul/chatter/resources/views/filament/infolists/components/messages/ -name 'content-text-entry.blade.php' -print0 | xargs -0 grep -i 'script src='• generic web: Monitor access logs for unusual requests containing JavaScript code in the subject or body parameters.
grep -i 'script src=' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar esta vulnerabilidad es actualizar Aureus ERP a la versión 1.3.0-BETA1, que incluye la corrección correspondiente (patch 2135ee7efff4090e70050b63015ab5e268760ec8). Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Después de la actualización, confirme la mitigación revisando los logs de la aplicación en busca de intentos de inyección de código malicioso.
Actualice Aureus ERP a la versión 1.3.0-BETA1 o posterior. Esta actualización corrige la vulnerabilidad de Cross-Site Scripting (XSS) en el componente Gestor de Mensajes Chatter. La actualización incluye el parche 2135ee7efff4090e70050b63015ab5e268760ec8.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4175 is a Cross-Site Scripting (XSS) vulnerability affecting Aureus ERP versions up to 1.2.0, allowing attackers to inject malicious scripts.
You are affected if you are using Aureus ERP versions 1.2.0 or earlier. Upgrade to 1.3.0-BETA1 to mitigate the risk.
Upgrade Aureus ERP to version 1.3.0-BETA1. Implement input validation and output encoding as a temporary workaround if immediate upgrade is not possible.
No active exploitation has been confirmed at this time, but the vulnerability's nature suggests potential for exploitation.
Refer to the Aureus ERP official website or security advisories for the latest information and updates regarding CVE-2026-4175.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.