मुफ्त स्कैन करें
LOWCVE-2024-11997CVSS 3.5

code-projects Farmacia vendas.php cross site scripting

अनुवाद हो रहा है…

प्लेटफ़ॉर्म

php

में ठीक किया गया

1.0.1

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2024-11997 describes a problematic cross-site scripting (XSS) vulnerability discovered in Farmacia version 1.0. This flaw allows attackers to inject malicious scripts into the application, potentially compromising user sessions and data. The vulnerability specifically targets the /vendas.php file, where manipulation of the notaFiscal argument can trigger the XSS. A patch is available in version 1.0.1.

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

An attacker can exploit this XSS vulnerability to execute arbitrary JavaScript code within the context of a user's browser session. This could lead to the theft of sensitive information, such as session cookies, login credentials, or personally identifiable information (PII). Furthermore, an attacker could redirect users to malicious websites, deface the application, or launch further attacks against the user's system. The remote nature of the exploit means that an attacker does not need to be on the same network as the vulnerable application to exploit it.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability has been publicly disclosed, increasing the risk of exploitation. While the CVSS score is LOW, the ease of exploitation and potential impact on user data warrant prompt remediation. No known active campaigns or KEV listing at the time of writing. Public proof-of-concept code is likely to emerge given the public disclosure.

कौन जोखिम में हैअनुवाद हो रहा है…

Users of Farmacia version 1.0 are directly at risk. Shared hosting environments where Farmacia is installed alongside other applications could also be affected, as a successful exploit could potentially compromise the entire hosting account. Administrators should review all instances of Farmacia to ensure they are patched.

पहचान के चरणअनुवाद हो रहा है…

• generic web:

curl -I https://your-farmacia-instance.com/vendas.php?notaFiscal=<script>alert('XSS')</script>

• generic web:

grep -r 'notaFiscal' /var/log/apache2/access.log | grep '<script>' # Check for suspicious requests

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
NextGuard10–15% अभी भी असुरक्षित

EPSS

0.14% (35% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N3.5LOWAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityNoneसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

विक्रेताcode-projects
प्रभावित श्रेणीमें ठीक किया गया
1.0 – 1.01.0.1

कमजोरी वर्गीकरण (CWE)

CWE-79CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation for CVE-2024-11997 is to upgrade Farmacia to version 1.0.1, which contains the fix for this vulnerability. If upgrading immediately is not possible, consider implementing input validation and sanitization on the notaFiscal parameter in /vendas.php to prevent the injection of malicious scripts. Web application firewalls (WAFs) configured to detect and block XSS attacks can also provide a temporary layer of protection. Carefully review and update any existing WAF rules to specifically target XSS patterns related to parameter manipulation.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualizar o parchear la aplicación Farmacia a una versión que corrija la vulnerabilidad XSS en el archivo /vendas.php. Validar y sanitizar la entrada del argumento notaFiscal para evitar la inyección de código malicioso. Si no hay actualizaciones disponibles, implementar medidas de seguridad adicionales, como el filtrado de entrada y la codificación de salida.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2024-11997 — XSS in Farmacia 1.0?

CVE-2024-11997 is a cross-site scripting (XSS) vulnerability in Farmacia version 1.0, allowing attackers to inject malicious scripts via the notaFiscal parameter in /vendas.php.

Am I affected by CVE-2024-11997 in Farmacia 1.0?

Yes, if you are using Farmacia version 1.0, you are affected by this vulnerability and should upgrade immediately.

How do I fix CVE-2024-11997 in Farmacia 1.0?

Upgrade Farmacia to version 1.0.1. As a temporary workaround, implement input validation and sanitization on the notaFiscal parameter.

Is CVE-2024-11997 being actively exploited?

While no active campaigns are confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.

Where can I find the official Farmacia advisory for CVE-2024-11997?

Refer to the Farmacia project's official website or repository for the advisory related to CVE-2024-11997.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें