Plataforma
php
Componente
patients-waiting-area-queue-management-system
Corregido en
1.0.1
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Patients Waiting Area Queue Management System de SourceCodester, específicamente en la versión 1.0. Esta vulnerabilidad reside en el archivo /php/apiregisterpatient.php y permite a un atacante inyectar scripts maliciosos. La explotación exitosa podría resultar en el robo de información sensible o la manipulación del comportamiento del sistema. La vulnerabilidad ha sido divulgada públicamente.
La vulnerabilidad XSS en Patients Waiting Area Queue Management System permite a un atacante inyectar código JavaScript malicioso en las páginas web vistas por otros usuarios. Esto puede ser explotado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o modificar el contenido de la página web. En un entorno de clínica o centro de salud, esto podría comprometer la confidencialidad de la información del paciente, incluyendo datos personales y detalles médicos. Un atacante podría, por ejemplo, mostrar una ventana emergente falsa solicitando credenciales de inicio de sesión, o modificar la página de registro de pacientes para capturar información sensible. La falta de validación adecuada de la entrada del usuario en el archivo /php/apiregisterpatient.php es la causa raíz de esta vulnerabilidad.
Esta vulnerabilidad ha sido divulgada públicamente el 19 de enero de 2026. No se ha confirmado la explotación activa en campañas dirigidas, pero la disponibilidad de la divulgación pública aumenta el riesgo de explotación. La vulnerabilidad se clasifica como de baja severidad según CVSS, pero su impacto potencial en la confidencialidad de los datos del paciente no debe subestimarse. No se ha añadido a KEV a la fecha.
Healthcare facilities and organizations utilizing the Patients Waiting Area Queue Management System version 1.0 are at risk. This includes clinics, hospitals, and other medical institutions that rely on this system for patient queue management. Shared hosting environments where multiple websites share the same server resources are particularly vulnerable, as a compromise of one website could potentially impact others.
• php / web:
grep -r "firstName/lastName" /var/www/html/Patients Waiting Area Queue Management System/• generic web:
curl -I http://your-server/php/api_register_patient.php?firstName=<script>alert(1)</script>&lastName=test• generic web: Examine access logs for requests to /php/apiregisterpatient.php containing suspicious characters in the firstName or lastName parameters (e.g., <script>, javascript:, onerror=).
disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-1146 es actualizar el Patients Waiting Area Queue Management System a una versión corregida, una vez que esté disponible. Mientras tanto, se recomienda implementar medidas de seguridad adicionales. La validación y el saneamiento rigurosos de todas las entradas del usuario, especialmente los campos firstName y lastName en el archivo /php/apiregisterpatient.php, son cruciales. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de contenido que el navegador puede cargar. Además, se recomienda utilizar un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear intentos de explotación. Verifique después de implementar estas medidas que la entrada de datos se valida correctamente y que el sistema no es susceptible a inyección de scripts.
Actualizar a una versión parcheada del sistema de gestión de colas de pacientes. Contacte al proveedor para obtener una versión corregida o implemente medidas de saneamiento de entrada para los campos firstName y lastName en el archivo /php/api_register_patient.php para evitar la ejecución de código (XSS).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1146 is a cross-site scripting (XSS) vulnerability in SourceCodester's Patients Waiting Area Queue Management System version 1.0, affecting the /php/apiregisterpatient.php file. Attackers can inject malicious scripts via manipulated firstName/lastName arguments.
If you are using Patients Waiting Area Queue Management System version 1.0, you are potentially affected by this XSS vulnerability. Upgrade to a patched version as soon as available.
The recommended fix is to upgrade to a patched version of the Patients Waiting Area Queue Management System. Until a patch is released, implement input validation and sanitization on the firstName and lastName parameters.
While no confirmed exploitation campaigns are currently known, the vulnerability has been publicly disclosed, increasing the risk of exploitation attempts.
Refer to the SourceCodester website and relevant security forums for updates and advisories regarding CVE-2026-1146.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.