Plattform
php
Komponente
cve-niuzzz
Behoben in
1.0.1
CVE-2026-4909 describes a Cross-Site Scripting (XSS) vulnerability discovered in the Exam Form Submission component, specifically within version 1.0. This flaw allows attackers to inject malicious scripts through manipulation of the 'sname' argument within the /admin/update_s7.php file, potentially leading to unauthorized access or data theft. The vulnerability is remotely exploitable and has been publicly disclosed, increasing the risk of exploitation. Severity pending evaluation.
Eine Cross-Site Scripting (XSS)-Schwachstelle wurde in Version 1.0 von Exam Form Submission identifiziert, insbesondere in der Datei /admin/update_s7.php. Dieser Fehler entsteht durch die Manipulation des Arguments 'sname', wodurch Angreifer bösartigen Code in die Anwendung einschleusen können. Der potenzielle Schaden umfasst die Ausführung von bösartigen Skripten in den Browsern von Benutzern, die mit der Anwendung interagieren, was zum Diebstahl sensibler Informationen (wie Anmeldedaten), zur Weiterleitung auf bösartige Websites oder zur Veränderung des Inhalts der Webseite führen kann. Da die Ausnutzung aus der Ferne möglich ist und der Exploit öffentlich verfügbar ist, ist das Risiko hoch und erfordert sofortige Aufmerksamkeit. Das Fehlen einer Lösung (Fix) verschärft die Situation und macht die Anwendung anfällig für aktive Angriffe.
Die XSS-Schwachstelle in Exam Form Submission 1.0 wird ausgenutzt, indem das Argument 'sname' in der Datei /admin/update_s7.php manipuliert wird. Ein Angreifer kann über dieses Argument bösartigen JavaScript-Code einschleusen, der dann im Browser jedes Benutzers ausgeführt wird, der auf die betroffene Seite zugreift. Die Tatsache, dass der Exploit öffentlich verfügbar ist, bedeutet, dass Angreifer bereits über die notwendigen Werkzeuge verfügen, um diese Schwachstelle auszunutzen. Die Fernausnutzung der Schwachstelle erleichtert den Angriff, da kein physischer Zugriff auf den Server erforderlich ist. Das Fehlen einer Lösung erhöht das Risiko erfolgreicher Angriffe erheblich.
Administrators and users of Exam Form Submission version 1.0 are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as an attacker could potentially compromise other applications on the same server through this vulnerability.
• php / web: Examine /admin/update_s7.php for inadequate input validation on the 'sname' parameter. Search access logs for requests containing suspicious JavaScript code in the 'sname' parameter.
grep -i 'script|alert' /var/log/apache2/access.log | grep /admin/update_s7.phpdisclosure
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Obwohl der Entwickler keine offizielle Lösung (Fix) bereitgestellt hat, werden sofortige Maßnahmen zur Risikominderung empfohlen. Dazu gehören die strenge Validierung und Bereinigung aller Benutzereingaben, insbesondere des Arguments 'sname'. Die Implementierung einer Content Security Policy (CSP) kann dazu beitragen, die Ausführung bösartiger Skripte zu verhindern. Darüber hinaus wird empfohlen, die Anwendung aktiv auf verdächtige Aktivitäten zu überwachen und die betroffene Funktionalität vorübergehend zu deaktivieren, bis eine Lösung verfügbar ist. Ein Upgrade auf eine spätere Version von Exam Form Submission, sobald verfügbar, wird die endgültige Lösung darstellen. Es wird auch empfohlen, den Softwareanbieter nach Informationen zu einem möglichen Update zu kontaktieren.
Actualizar el software Exam Form Submission a una versión corregida que mitigue la vulnerabilidad XSS. Aplicar validación y sanitización de entrada en el parámetro 'sname' en el archivo /admin/update_s7.php para evitar la inyección de código malicioso. Considere utilizar funciones de escape específicas para el contexto de salida (HTML, JavaScript, etc.).
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in legitime Websites einzuschleusen.
Implementieren Sie die Validierung und Bereinigung von Eingaben, verwenden Sie eine Content Security Policy (CSP) und halten Sie Ihre Software auf dem neuesten Stand.
Wenden Sie sofortige Maßnahmen zur Risikominderung an, überwachen Sie Ihre Website auf verdächtige Aktivitäten und aktualisieren Sie auf eine sichere Version der Software, sobald diese verfügbar ist.
Derzeit wurde vom Entwickler keine offizielle Lösung bereitgestellt. Maßnahmen zur Risikominderung werden empfohlen.
Ja, diese Schwachstelle ist ernst, da sie aus der Ferne ausgenutzt werden kann, der Exploit öffentlich verfügbar ist und es keine Lösung gibt.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.