userSpice 4.3.24 contains a cross-site scripting vulnerability that allows attackers to inject malicious scripts through the X-Forwarded-For HTTP header. Attackers can send crafted requests to the backup.php endpoint with XSS payloads in the X-Forwarded-For header that execute when administrators visit the audit log page.
userSpice 4.3.24 contains a stored XSS vulnerability in the backup.php endpoint where malicious scripts injected via the X-Forwarded-For HTTP header execute when administrators access the audit log page. This allows attackers to compromise administrator accounts and gain unauthorized access to sensitive backup data.
يؤثر هذا الضعف على userSpice 4.3.24 حيث يمكن للمهاجمين حقن برامج نصية ضارة عبر رأس HTTP X-Forwarded-For في نقطة نهاية backup.php. عند زيارة المسؤول لصفحة سجل التدقيق، يتم تنفيذ البرنامج النصي الضار في سياق جلسة المسؤول. هذا يسمح بسرقة الجلسات والوصول غير المصرح به إلى البيانات الحساسة والنسخ الاحتياطية.
يحتوي userSpice 4.3.24 على ثغرة XSS مخزنة في نقطة نهاية backup.php حيث يتم تنفيذ البرامج النصية الضارة المحقونة عبر رأس HTTP X-Forwarded-For عند وصول المسؤولين إلى صفحة سجل التدقيق. يسمح هذا للمهاجمين بالتسبب في اختراق حسابات المسؤول والوصول غير المصرح به إلى بيانات النسخة الاحتياطية الحساسة.
Upgrade userSpice to version 4.3.25 or later immediately. Implement input validation and output encoding for the X-Forwarded-For header. Deploy Web Application Firewall (WAF) rules to filter malicious XSS payloads. Restrict access to backup.php and audit log pages to authorized administrators only. Monitor audit logs for suspicious X-Forwarded-For header values.
قم بترقية userSpice إلى الإصدار 4.3.25 أو أحدث على الفور. قم بتنفيذ التحقق من صحة المدخلات والترميز الناتج لرأس X-Forwarded-For. نشر قواعد جدار حماية تطبيقات الويب (WAF) لتصفية حمولات XSS الضارة. تقييد الوصول إلى backup.php وصفحات سجل التدقيق للمسؤولين المصرح لهم فقط. مراقبة سجلات التدقيق للقيم المريبة في رأس X-Forwarded-For.