CVE-2024-31648

MITJÀ: (6,4)

CVSS3: 6,2

El sistema de gestió d’assegurances SourceCodester és vulnerable a una injecció indirecta de scripts, causada per una validació incorrecta de l’entrada proporcionada per l’usuari per part de /core/new_category2. Un atacant autenticat remot podria explotar aquesta vulnerabilitat mitjançant el paràmetre Nom de categoria en un URL especialment dissenyat per executar un script en un navegador web de víctimes dins del context de seguretat del lloc web d’allotjament, un cop es fa clic a l’URL. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de les víctimes.

Sistemes Afectats

• SourceCodester Insurance Management System 1.0

Remediació
No hi ha cap recurs disponible a partir del 15 d’abril del 2024.

Referències

• Stored Cross-Site Scripting Vulnerability in SourceCodester Online Ticket genereation System
• Insurance management system source code
• Cross Site Scripting (XSS) in Insurance Management System v1.0, allows remote attackers to execute arbitrary web scripts or HTML via a crafted payload injected into the Category Name parameter at /core/new_category2.