Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema de gestión de estudiantes Online Student Management System de code-projects, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar código malicioso en las páginas web, comprometiendo la seguridad de los usuarios. La vulnerabilidad reside en la función desconocida del archivo /admin/announcement/index.php?view=add del módulo de Gestión de Anuncios. Se recomienda actualizar el sistema a la versión corregida tan pronto como esté disponible.
La vulnerabilidad XSS en code-projects Online Student Management System permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario autenticado. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. Un atacante podría explotar esta vulnerabilidad para obtener acceso no autorizado a información confidencial, como datos de estudiantes o información administrativa. La explotación exitosa podría llevar a la toma de control de la cuenta de un administrador, permitiendo al atacante realizar acciones maliciosas en nombre del administrador.
La vulnerabilidad CVE-2026-2156 ha sido publicada públicamente el 8 de febrero de 2026, y un Proof of Concept (PoC) está disponible, lo que aumenta la probabilidad de explotación. La severidad es baja según el CVSS, pero la disponibilidad pública del PoC implica que los atacantes pueden explotar esta vulnerabilidad rápidamente. No se ha reportado explotación activa a la fecha, pero la disponibilidad del PoC requiere atención inmediata.
Administrators and users of Code-Projects Online Student Management System version 1.0 are at risk. Shared hosting environments where multiple users share the same instance of the software are particularly vulnerable, as a compromised account could be used to inject malicious announcements affecting all users.
• generic web: Monitor access logs for suspicious requests to /admin/announcement/index.php?view=add containing unusual characters or patterns. Use curl to test the endpoint with various payloads and observe the response for signs of script execution.
curl -X POST -d "<script>alert('XSS')</script>" http://your-target/admin/announcement/index.php?view=add• php: Examine the source code of /admin/announcement/index.php for missing or inadequate input validation and output encoding functions. Search for instances where user-supplied data is directly inserted into HTML without proper sanitization.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-2156 es actualizar el sistema a la versión corregida tan pronto como esté disponible. Mientras tanto, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario. Implementar una Web Application Firewall (WAF) con reglas para bloquear scripts XSS conocidos puede ayudar a reducir el riesgo. Además, se recomienda revisar y fortalecer las políticas de seguridad del sitio web para prevenir futuros ataques XSS.
Actualizar el sistema Online Student Management System a una versión posterior a la 1.0 que corrija la vulnerabilidad de Cross-Site Scripting (XSS) en el módulo de gestión de anuncios. Si no hay una versión disponible, se recomienda deshabilitar o eliminar el módulo de gestión de anuncios hasta que se publique una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2156 is a cross-site scripting (XSS) vulnerability affecting Code-Projects Online Student Management System version 1.0, allowing attackers to inject malicious scripts.
If you are using Code-Projects Online Student Management System version 1.0, you are potentially affected by this vulnerability. Upgrade is the recommended solution.
Upgrade to a patched version of the software. As a temporary workaround, implement strict input validation and output encoding.
The exploit is publicly available, suggesting a potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the Code-Projects website or security mailing lists for the official advisory regarding CVE-2026-2156.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.