CRITICAL🇬🇧 English

CVE-2024-57428

Stored XSS w PHPJabbers Cinema Booking System v2.0

CVSS 9.3v3.1pub. 2025-02-06upd. 2025-06-24

W PHPJabbers Cinema Booking System v2.0 istnieje podatność stored cross-site scripting (XSS) wynikająca z braku sanityzacji danych wejściowych w polach przesyłania plików oraz konfiguracji numerów miejsc. Umożliwia ona trwałe wstrzyknięcie złośliwego kodu JavaScript, co stanowi poważne zagrożenie dla użytkowników systemu.

Pokaż oryginał (EN)

A stored cross-site scripting (XSS) vulnerability in PHPJabbers Cinema Booking System v2.0 exists due to unsanitized input in file upload fields (event_img, seat_maps) and seat number configurations (number[new_X] in pjActionCreate). Attackers can inject persistent JavaScript, leading to phishing, malware injection, and session hijacking.

🤖 Analiza AI
Jak działa

Atakujący może wstrzyknąć złośliwy kod JavaScript do pól przesyłania plików (event_img, seat_maps) oraz do parametrów numeracji miejsc (number[new_X] w akcji pjActionCreate), które nie są odpowiednio filtrowane ani kodowane. Wstrzyknięty payload jest trwale zapisywany po stronie serwera i wykonywany w przeglądarce każdego użytkownika przeglądającego zainfekowaną stronę. Podatność działa w sposób persistentny — nie wymaga nakłonienia ofiary do odwiedzenia specjalnie spreparowanego URL, gdyż złośliwy kod jest serwowany bezpośrednio z aplikacji.

Skutki

Atakujący może przeprowadzić phishing, wstrzyknąć złośliwe oprogramowanie (malware injection) oraz przejąć sesje uwierzytelnionych użytkowników (session hijacking), uzyskując tym samym dostęp do ich kont i danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do funkcji przesyłania plików i konfiguracji miejsc wyłącznie do zaufanych użytkowników oraz wdrożenie nagłówka Content-Security-Policy jako dodatkowej warstwy ochrony.

Kogo dotyczy

PHPJabbers Cinema Booking System v2.0

Uwagi

Publiczny dowód koncepcji (proof-of-concept) dostępny jest w referencjach pod adresem: https://github.com/ahrixia/CVE-2024-57428

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Phpjabbers Cinema Booking System

    APP
    Phpjabbers
    2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2024-57430CRITICAL9.8PL ✓ten sam produkt

SQL Injection w PHPJabbers Cinema Booking System v2.0 — pjActionGetUser

CVE-2023-51333HIGH8.8ten sam produkt

PHPJabbers Cinema Booking System v1.0 is vulnerable to CSV Injection vulnerability which allows an attacker to...

CVE-2023-51330MEDIUM5.4ten sam produkt

PHPJabbers Cinema Booking System v1.0 is vulnerable to Reflected Cross-Site Scripting (XSS) in Now Showing men...

CVE-2023-51335MEDIUM6.5ten sam produkt

PHPJabbers Cinema Booking System v1.0 is vulnerable to Multiple Stored Cross-Site Scripting (XSS) in the "titl...

CVE-2023-51334MEDIUM5.3ten sam produkt

A lack of rate limiting in the 'Forgot Password' feature of PHPJabbers Cinema Booking System v1.0 allows attac...