CVE-2024-3797

MITJÀ: (6,4)

CVSS3: 6,2

El sistema d’adreces d’interès de codi QR de SourceCodester és vulnerable a una injecció indirecta de scripts, causada per una validació incorrecta de l’entrada proporcionada per l’usuari per l’script /endpoint/delete-bookmark.php. Un atacant remot autenticat podria explotar aquesta vulnerabilitat utilitzant el paràmetre de marcador en un URL especialment dissenyat per executar un script en un navegador web de víctimes dins del context de seguretat del lloc web d’allotjament, un cop es fa clic a l’URL. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de les víctimes.

Sistemes Afectats

• SourceCodester QR Code Bookmark System 1.0

Remediació
No hi ha cap recurs disponible a partir del 15 d’abril del 2024.

Referències

• QR Code Bookmark System – SQL Injection
• QR Code Bookmark System Using PHP and MySQL
• A vulnerability was found in SourceCodester QR Code Bookmark System 1.0.