SourceCodester Sales and Inventory System Parámetro GET delete.php cross site scripting
Plataforma
php
Componente
sales-and-inventory-system
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Sales and Inventory System de SourceCodester, afectando a las versiones 1.0.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación a través de la manipulación del parámetro 'ID' en el archivo /delete.php. La explotación exitosa puede llevar a la ejecución de código arbitrario en el navegador de la víctima.
Impacto y Escenarios de Ataque
La vulnerabilidad XSS en Sales and Inventory System permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario autenticado. Esto puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web para engañar al usuario. Un atacante podría, por ejemplo, inyectar código para robar credenciales de inicio de sesión o realizar acciones en nombre del usuario sin su conocimiento. La publicación de un Proof of Concept (PoC) aumenta significativamente el riesgo de explotación.
Contexto de Explotación
La vulnerabilidad CVE-2026-5810 ha sido publicada con un Proof of Concept (PoC) disponible, lo que indica una alta probabilidad de explotación. La severidad CVSS es LOW (3.5), pero la disponibilidad de un PoC aumenta el riesgo. No se ha confirmado explotación activa a la fecha de publicación, pero la existencia del PoC hace que sea un objetivo atractivo para atacantes.
Quién Está en Riesgotraduciendo…
Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.
Pasos de Deteccióntraduciendo…
• php / web:
curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
grep -i 'alert("XSS")' /var/log/apache2/access.logCronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal es actualizar a una versión corregida del Sales and Inventory System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y el saneamiento de todas las entradas de usuario, especialmente los parámetros GET. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que contengan código XSS. La implementación de políticas de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo.
Cómo corregirlo
Actualice el sistema Sales and Inventory System a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Implemente medidas de seguridad adicionales, como la validación de entradas y la codificación de salidas, para mitigar el riesgo de ataques XSS.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2026-5810 — XSS in Sales and Inventory System?
CVE-2026-5810 is a cross-site scripting (XSS) vulnerability in SourceCodester Sales and Inventory System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the /delete.php file.
Am I affected by CVE-2026-5810 in Sales and Inventory System?
If you are using SourceCodester Sales and Inventory System version 1.0.0 or 1.0, you are potentially affected by this XSS vulnerability.
How do I fix CVE-2026-5810 in Sales and Inventory System?
Upgrade to a patched version of SourceCodester Sales and Inventory System as soon as it becomes available. Implement input validation and output encoding as a temporary workaround.
Is CVE-2026-5810 being actively exploited?
An exploit has been published, indicating a high probability of active exploitation. Immediate action is recommended.
Where can I find the official Sales and Inventory System advisory for CVE-2026-5810?
Refer to the SourceCodester website or their official communication channels for the latest advisory regarding CVE-2026-5810.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.