CVE-2023-3564
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 — wyżej niż 35% wszystkich znanych CVE
Streszczenie
W systemie rezerwacji hoteli GZ Multi w wersji 1.8 odkryto podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentami adults/children/cal_id w pliku /index.php.
Ocena ryzyka
Atakujący może zdalnie wykorzystać tę podatność do wstrzyknięcia złośliwego kodu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji.
Rekomendacja
Zaleca się aktualizację systemu GZ Multi Hotel Booking do najnowszej wersji oraz wprowadzenie filtracji danych wejściowych w celu zminimalizowania ryzyka ataków XSS.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in GZ Scripts GZ Multi Hotel Booking System 1.8. It has been classified as problematic. Affected is an unknown function of the file /index.php. The manipulation of the argument adults/children/cal_id leads to cross site scripting. It is possible to launch the attack remotely. VDB-233358 is the identifier assigned to this vulnerability.

