Plataforma
php
Componente
patients-waiting-area-queue-management-system
Corregido en
1.0.1
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Patients Waiting Area Queue Management System de SourceCodester, específicamente en la versión 1.0. Esta vulnerabilidad reside en el archivo /php/apipatientschedule.php y permite a un atacante inyectar scripts maliciosos. El exploit ya ha sido publicado, lo que aumenta el riesgo de explotación. Se recomienda actualizar el sistema a una versión corregida o implementar medidas de mitigación.
La vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la aplicación web vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario. Dado que el exploit es público, la probabilidad de que sea explotado es alta. El impacto potencial es significativo, ya que un atacante podría comprometer la confidencialidad, integridad y disponibilidad de la información del paciente y del sistema.
El exploit para CVE-2026-1147 ha sido publicado, lo que indica una alta probabilidad de explotación. La vulnerabilidad se considera de baja severidad según el CVSS, pero el hecho de que el exploit sea público aumenta significativamente el riesgo. No se ha reportado explotación activa a gran escala hasta la fecha, pero la disponibilidad del exploit facilita su uso por parte de atacantes.
Healthcare facilities and clinics utilizing the Patients Waiting Area Queue Management System version 1.0 are at immediate risk. Shared hosting environments where multiple users share the same server are particularly vulnerable, as an attacker could potentially compromise other applications on the same server through this XSS vulnerability. Organizations relying on this system for patient management and scheduling are also at risk.
• generic web: Use curl to test the /php/apipatientschedule.php endpoint with a malicious payload in the 'Reason' parameter. Check the response for signs of script execution.
curl 'http://your-target-url/php/api_patient_schedule.php?Reason=<script>alert("XSS")</script>' • generic web: Examine access and error logs for suspicious requests targeting /php/apipatientschedule.php with unusual parameters.
• php: Review the source code of /php/apipatientschedule.php for inadequate input validation or output encoding of the 'Reason' parameter.
disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el Patients Waiting Area Queue Management System a una versión corregida, tan pronto como esté disponible. Mientras tanto, se pueden implementar medidas de mitigación temporales. Es crucial validar y escapar correctamente todos los datos de entrada del usuario, especialmente el argumento 'Reason' en el archivo /php/apipatientschedule.php. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de las que se pueden cargar los scripts. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de scripts también es recomendable.
Actualizar a una versión parcheada del sistema de gestión de colas de pacientes. Contacte al proveedor para obtener una versión corregida o aplique las medidas de seguridad necesarias para evitar ataques XSS, como la sanitización de las entradas del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1147 is a cross-site scripting (XSS) vulnerability in SourceCodester's Patients Waiting Area Queue Management System version 1.0, allowing attackers to inject malicious scripts via the 'Reason' parameter.
If you are using Patients Waiting Area Queue Management System version 1.0, you are potentially affected by this vulnerability. Immediate action is required.
Upgrade to a patched version of the Patients Waiting Area Queue Management System. Until a patch is available, implement WAF rules and input validation to mitigate the risk.
While active campaigns are not confirmed, a public proof-of-concept exists, increasing the likelihood of exploitation.
Refer to the SourceCodester website or relevant security forums for updates and advisories regarding CVE-2026-1147.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.