Plateforme
php
Corrigé dans
1.0.1
La vulnérabilité MAL-2026-3412 affecte le package npm 'post-purchase-bundler' dans les versions inférieures ou égales à 99.9.25. Ce package a été identifié comme malveillant par le projet OpenSSF Package Analysis en raison de sa communication avec un domaine associé à des activités malveillantes. Cette communication pourrait être utilisée pour télécharger et exécuter du code malveillant sur les systèmes affectés. Aucune version corrigée n'est actuellement disponible.
L'impact de MAL-2026-3412 réside dans le risque d'infection par malware. Le package 'post-purchase-bundler' communique avec un domaine contrôlé par des acteurs malveillants, ce qui permet à ces derniers d'injecter du code malveillant dans les applications qui utilisent ce package. Ce code malveillant peut être utilisé pour voler des données sensibles, compromettre la sécurité du système ou lancer d'autres attaques. Le risque est particulièrement élevé pour les applications de commerce électronique ou de traitement de commandes qui utilisent ce package, car elles pourraient être ciblées pour voler des informations sur les clients ou les transactions. La présence du package dans le flux de dépendances npm augmente le risque de propagation de l'infection.
Le projet OpenSSF Package Analysis a identifié cette vulnérabilité, ce qui indique une prise de conscience rapide et un risque d'exploitation accru. Le score EPSS est probablement élevé en raison de la communication avec un domaine malveillant. Bien qu'il n'y ait pas de preuves publiques d'exploitation active à ce jour, le risque est réel et nécessite une action immédiate. La publication de cette vulnérabilité par l'OpenSSF Package Analysis souligne l'importance de la sécurité de la chaîne d'approvisionnement logicielle.
Organizations utilizing the itsourcecode University Management System version 1.0, particularly those with publicly accessible instances or those lacking robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same server resources are also particularly vulnerable, as a compromise of one user's account could potentially impact others.
• php / web:
curl -I 'http://your-university-management-system/att_single_view.php?dt=<script>alert(1)</script>' | grep -i content-type• generic web:
grep -i 'dt=<script' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
En l'absence d'une version corrigée, la mesure la plus efficace consiste à supprimer immédiatement le package 'post-purchase-bundler' de tous les projets npm affectés. Utilisez la commande npm uninstall post-purchase-bundler pour supprimer le package. Ensuite, effectuez une analyse de sécurité approfondie de votre code pour vous assurer qu'il n'y a pas d'autres dépendances malveillantes. Envisagez d'utiliser des outils d'analyse de la chaîne d'approvisionnement logicielle pour identifier et atténuer les risques liés aux dépendances npm. Surveillez attentivement les journaux d'audit pour détecter toute activité suspecte liée à ce package. La mise en place d'une politique de sécurité des dépendances peut aider à prévenir l'utilisation de packages malveillants à l'avenir.
Mettre à jour vers une version corrigée du système de gestion universitaire. Si aucune version n'est disponible, examiner le code source de `/att_single_view.php` et assainir l'entrée du paramètre `dt` afin d'éviter l'exécution de code JavaScript malveillant.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité dans le package npm 'post-purchase-bundler' qui communique avec un domaine malveillant.
Si vous utilisez 'post-purchase-bundler' version 99.9.25 ou inférieure, vous êtes potentiellement affecté.
Supprimez immédiatement le package 'post-purchase-bundler' de vos projets npm.
Bien qu'il n'y ait pas de preuves publiques, le risque d'exploitation est élevé.
Consultez le projet OpenSSF Package Analysis pour plus d'informations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.