Plataforma
php
Componente
books-manager
Corregido en
298.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en BooksManager, afectando versiones hasta 298ba736387ca37810466349af13a0fdf828e99c. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'mark' en el archivo controllers/bookscenter/addbookcheck.php. La vulnerabilidad es explotable de forma remota y ya ha sido divulgada públicamente.
Un atacante puede aprovechar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto podría resultar en el robo de cookies de sesión, redirección a sitios maliciosos, o la modificación del contenido de la página web. El impacto se amplifica si la aplicación Books_Manager se utiliza para gestionar información sensible o si los usuarios tienen privilegios elevados dentro del sistema. La ejecución de código arbitrario en el contexto del usuario puede permitir al atacante acceder a datos confidenciales o realizar acciones no autorizadas.
La vulnerabilidad ha sido divulgada públicamente el 26 de enero de 2026. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad de la divulgación pública aumenta el riesgo de que sea explotada. La puntuación CVSS de 2.4 indica un riesgo bajo, pero la facilidad de explotación y el potencial impacto hacen que sea importante tomar medidas de mitigación.
Organizations and individuals using iJason-Liu Books_Manager, particularly those hosting the application on shared hosting environments or without robust security controls, are at increased risk. Systems where user input is not properly validated are especially vulnerable.
• generic web: Use curl to test the controllers/bookscenter/addbook_check.php endpoint with various payloads in the mark parameter. Look for reflected input in the response.
curl 'http://your-books-manager-url/controllers/books_center/add_book_check.php?mark=<script>alert("XSS")</script>'• generic web: Examine access and error logs for suspicious requests targeting controllers/bookscenter/addbook_check.php with unusual parameters.
• generic web: Review response headers for any signs of XSS filtering or sanitization.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
Dado que BooksManager no utiliza versionamiento, no hay un parche oficial disponible. La mitigación principal consiste en validar y escapar rigurosamente todos los datos de entrada del usuario, especialmente el argumento 'mark' en el archivo controllers/bookscenter/addbookcheck.php. Implementar una política de seguridad de contenido (CSP) puede ayudar a reducir el impacto de la vulnerabilidad al restringir las fuentes de scripts que el navegador puede ejecutar. Además, se recomienda monitorear los registros de la aplicación en busca de patrones sospechosos de inyección de scripts.
Actualice Books_Manager a una versión posterior a 298ba736387ca37810466349af13a0fdf828e99c. Si no hay una versión disponible, revise el código en controllers/books_center/add_book_check.php y corrija la vulnerabilidad de cross-site scripting en el argumento 'mark'. Implemente una validación y sanitización adecuada de la entrada del usuario para prevenir la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1444 is a cross-site scripting (XSS) vulnerability affecting iJason-Liu Books_Manager versions up to 298ba736387ca37810466349af13a0fdf828e99c, allowing attackers to inject malicious scripts.
If you are using iJason-Liu Books_Manager version 298ba736387ca37810466349af13a0fdf828e99c or earlier, you are potentially affected by this vulnerability.
Due to the lack of versioning, a direct patch is unavailable. Mitigate by implementing input validation, WAF rules, and a Content Security Policy.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Active exploitation is possible.
Consult the iJason-Liu Books_Manager project repository or contact the vendor directly for any available advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.