Platform
php
Component
86480890cc621c240c86e95a3de9ecc4
Opgelost in
1.0.1
1.0.1
CVE-2024-7218 is een cross-site scripting (XSS) kwetsbaarheid ontdekt in SourceCodester's School Log Management System. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts uit te voeren in de context van een andere gebruiker. De kwetsbaarheid treedt op in versie 1.0 en 1.0, en is verholpen in versie 1.0.1. Een patch is beschikbaar.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan een aanvaller in staat stellen om kwaadaardige scripts uit te voeren in de browsers van gebruikers die School Log Management System bezoeken. Dit kan leiden tot het stelen van gevoelige informatie, zoals gebruikersnamen, wachtwoorden en andere persoonlijke gegevens. De aanvaller kan ook de website manipuleren om gebruikers naar kwaadaardige websites te leiden of om schadelijke acties uit te voeren in naam van de gebruiker. Omdat de exploitatie van op afstand kan plaatsvinden, is de potentiële impact aanzienlijk, vooral voor systemen met veel gebruikers of gevoelige data.
De exploit voor deze kwetsbaarheid is publiekelijk beschikbaar, wat het risico verhoogt. Er is geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de publicatie van de exploit maakt het een aantrekkelijk doelwit voor kwaadwillenden. De kwetsbaarheid is openbaar gemaakt op 2024-07-30 via NVD.
Schools and educational institutions using SourceCodester's School Log Management System are at risk. Specifically, organizations relying on the default configuration and not implementing additional security measures are particularly vulnerable. Shared hosting environments where multiple users share the same server resources could also be affected if one user's account is compromised.
• php: Examine the /admin/ajax.php file for unsanitized input handling of the 'Name' parameter. Search for instances where user input is directly outputted to the page without proper encoding.
// Example of vulnerable code
<?php
echo $_GET['Name']; // Vulnerable to XSS
?>• generic web: Monitor access logs for requests to /admin/ajax.php?action=save_student containing suspicious characters or patterns commonly associated with XSS payloads (e.g., <script>, <img src=x onerror=alert(1)>).
• generic web: Use a web proxy or browser developer tools to inspect the application's response for unexpected JavaScript code execution.
disclosure
Exploit Status
EPSS
0.09% (26% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 1.0.1 van School Log Management System. Indien een upgrade momenteel niet mogelijk is, implementeer dan strikte inputvalidatie en output encoding op de /admin/ajax.php?action=savestudent endpoint. Dit omvat het filteren van alle gebruikersinvoer op potentieel schadelijke karakters en het escapen van alle uitvoer voordat deze wordt weergegeven in de browser. Overweeg het gebruik van een Web Application Firewall (WAF) om aanvallen te blokkeren. Na de upgrade, controleer de logs op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het testen van de /admin/ajax.php?action=savestudent endpoint met een veilige test payload.
Werk het School Log Management System bij naar een gepatchte versie die de XSS-vulnerability oplost. Indien er geen versie beschikbaar is, controleer en filter dan de invoer van het veld 'Name' in het bestand /admin/ajax.php?action=save_student om de injectie van kwaadaardige code te voorkomen. Overweeg om data validatie en sanitatie aan de serverzijde te implementeren om toekomstige XSS-aanvallen te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-7218 is a cross-site scripting (XSS) vulnerability in SourceCodester's School Log Management System allowing attackers to inject malicious scripts. It affects versions 1.0–1.0.
You are affected if you are using School Log Management System version 1.0 or 1.0. Check your installation and upgrade immediately.
Upgrade to version 1.0.1. If immediate upgrade is not possible, implement input validation and output encoding on the 'Name' field.
A public proof-of-concept exists, suggesting a high probability of exploitation. Monitor your systems closely.
Refer to the SourceCodester website or their official communication channels for the advisory related to CVE-2024-7218.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.