CVE-2023-3005
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 45 — wyżej niż 45% wszystkich znanych CVE
Streszczenie
W systemie zarządzania wyszukiwarką lokalnych usług SourceCodester w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross-site scripting (XSS) poprzez manipulację parametrem POST w pliku /admin/ajax.php. Wprowadzenie złośliwego skryptu, takiego jak <script>alert(document.cookie)</script>, może prowadzić do nieautoryzowanego dostępu do danych użytkownika.
Ocena ryzyka
Podatność ta stwarza ryzyko zdalnego ataku, co może prowadzić do kradzieży danych sesji użytkowników oraz innych informacji wrażliwych. Publiczne ujawnienie exploita zwiększa prawdopodobieństwo jego wykorzystania przez cyberprzestępców.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie systemu do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające przed atakami XSS, takie jak walidacja i sanitizacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
A vulnerability, which was classified as problematic, was found in SourceCodester Local Service Search Engine Management System 1.0. This affects an unknown part of the file /admin/ajax.php?action=save_area of the component POST Parameter Handler. The manipulation of the argument area with the input <script>alert(document.cookie)</script> leads to cross site scripting. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-230349 was assigned to this vulnerability.

