CVE-2024-0189

Portal Online do Engenheiro da RRJ Nueva Ecija, versão 1.0

Foi encontrada uma vulnerabilidade no RRJ Nueva Ecija Engineer Online Portal, afetando o arquivo teacher message.php do componente Create Message Handler. A manipulação do argumento Content com a entrada </title><scRipt>alert(x)</scRipt> leva a um ataque de cross-site scripting. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso.

Para o Portal Online RRJ Nueva Ecija Engineer versão 1.0, como solução temporária, considere desativar o componente Create Message Handler até que um patch esteja disponível. Restrinja o acesso ao arquivo teacher message.php para minimizar o risco de exploração. Evite usar o argumento Content no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.