मुफ्त स्कैन करें
LOWCVE-2024-11995CVSS 3.5

code-projects Farmacia pagamento.php cross site scripting

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

php

में ठीक किया गया

1.0.1

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

A problematic cross-site scripting (XSS) vulnerability has been identified in Farmacia version 1.0. This flaw resides within the /pagamento.php file and allows attackers to inject malicious scripts by manipulating the 'total' argument. Successful exploitation could lead to session hijacking or defacement of the application. The vulnerability has been publicly disclosed and a patch is available in version 1.0.1.

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The XSS vulnerability in Farmacia allows an attacker to inject arbitrary JavaScript code into the application. This code will then be executed in the context of the user's browser when they visit the affected page. An attacker could leverage this to steal session cookies, redirect users to malicious websites, or deface the application. The impact is amplified if the application handles sensitive user data, as an attacker could potentially gain access to this information. Given the public disclosure, the risk of exploitation is elevated.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability has been publicly disclosed, increasing the likelihood of exploitation. No known active campaigns targeting this specific vulnerability have been reported as of the publication date. The vulnerability is not currently listed on the CISA KEV catalog. A public proof-of-concept is likely to emerge given the disclosure.

कौन जोखिम में हैअनुवाद हो रहा है…

Websites and applications utilizing Farmacia 1.0 are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as a successful exploit on one application could potentially compromise others. Users who rely on Farmacia for processing payments or handling sensitive data are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• generic web:

curl -I 'http://your-farmacia-site.com/pagamento.php?total=<script>alert(1)</script>' | grep -i 'content-type' # Check for Content-Type header indicating script execution

• generic web:

curl 'http://your-farmacia-site.com/pagamento.php?total=<script>alert(1)</script>' | grep -o '<[^>]*>' # Look for HTML tags injected into the response

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
NextGuard10–15% अभी भी असुरक्षित

EPSS

0.14% (34% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N3.5LOWAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

विक्रेताcode-projects
प्रभावित श्रेणीमें ठीक किया गया
1.0 – 1.01.0.1

कमजोरी वर्गीकरण (CWE)

CWE-79CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2024-11995 is to upgrade Farmacia to version 1.0.1, which contains the necessary fix. If upgrading immediately is not feasible, consider implementing input validation and output encoding on the 'total' parameter in /pagamento.php to sanitize user-supplied data. Web Application Firewalls (WAFs) configured to detect and block XSS payloads can also provide a temporary layer of protection. Review and update any existing WAF rules to specifically target XSS attempts on the /pagamento.php endpoint.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualizar a una versión parcheada o implementar medidas de sanitización de entrada en el archivo /pagamento.php para el argumento 'total'. Escapar o validar la entrada del usuario antes de mostrarla en la página para prevenir la ejecución de código malicioso.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2024-11995 — XSS in Farmacia 1.0?

CVE-2024-11995 is a cross-site scripting (XSS) vulnerability in Farmacia version 1.0, affecting the /pagamento.php file. Attackers can inject malicious scripts by manipulating the 'total' argument.

Am I affected by CVE-2024-11995 in Farmacia 1.0?

Yes, if you are running Farmacia version 1.0, you are affected by this vulnerability. Upgrade to version 1.0.1 to mitigate the risk.

How do I fix CVE-2024-11995 in Farmacia 1.0?

Upgrade Farmacia to version 1.0.1. As a temporary workaround, implement input validation and output encoding on the 'total' parameter in /pagamento.php.

Is CVE-2024-11995 being actively exploited?

While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the likelihood of exploitation.

Where can I find the official Farmacia advisory for CVE-2024-11995?

Refer to the Farmacia project's official website or repository for the advisory related to CVE-2024-11995.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें