Katalog CVE

CVE-2023-3757

NiskieCVSS 3.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

W GZ Scripts Car Rental Script w wersji 1.8 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentami w pliku /EventBookingCalendar/load.php. Atakujący może zdalnie wykorzystać tę lukę, wprowadzając złośliwe dane w polach first_name, second_name, phone, address_1 oraz country.

Ocena ryzyka

Podatność ta stwarza ryzyko zdalnego wykonania złośliwego kodu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Organizacje korzystające z tego skryptu powinny być szczególnie ostrożne, aby nie narażać swoich użytkowników na ataki.

Rekomendacja

Zaleca się aktualizację GZ Scripts Car Rental Script do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczające, takie jak walidacja i sanitizacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

A vulnerability classified as problematic has been found in GZ Scripts Car Rental Script 1.8. Affected is an unknown function of the file /EventBookingCalendar/load.php?controller=GzFront/action=checkout/cid=1/layout=calendar/show_header=T/local=3. The manipulation of the argument first_name/second_name/phone/address_1/country leads to cross site scripting. It is possible to launch the attack remotely. The identifier of this vulnerability is VDB-234432. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS