Plataforma
java
Componente
studentmanager
Corregido en
2151560.0.1
Se ha detectado una vulnerabilidad de Cross-Site Scripting (XSS) en studentmanager de ZeroWdd, afectando a versiones hasta 2151560fc0a50ec00426785ec1e01a3763b380d9. Esta vulnerabilidad reside en la función 'addLeave' del archivo 'src/main/java/com/wdd/studentmanager/controller/LeaveController.java', permitiendo la inyección de scripts maliciosos. La explotación es pública y puede ser iniciada de forma remota, comprometiendo la integridad de la aplicación.
Un atacante puede explotar esta vulnerabilidad XSS manipulando el argumento 'Reason for Leave' para inyectar código JavaScript malicioso. Este código se ejecutará en el navegador de la víctima cuando acceda a la página afectada, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página web. El impacto puede ser significativo, ya que permite la ejecución de código arbitrario en el contexto del usuario autenticado, lo que podría llevar a la comprometer la confidencialidad, integridad y disponibilidad de la información sensible. La naturaleza remota de la explotación aumenta el riesgo de ataques a gran escala.
La vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha identificado una entrada en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA a la fecha. La disponibilidad de un Proof of Concept (PoC) público facilita la explotación por parte de atacantes con diferentes niveles de habilidad. Se recomienda monitorear activamente los sistemas afectados en busca de signos de explotación.
Educational institutions and organizations utilizing ZeroWdd studentmanager are at risk. Specifically, deployments where user-provided data is directly reflected in web pages without proper sanitization are particularly vulnerable. Users who rely on the studentmanager for sensitive student data management should prioritize implementing the recommended mitigations.
• java / server:
grep -r "Reason for Leave" src/main/java/com/wdd/studentmanager/controller/LeaveController.java | grep -i "<script"• generic web:
curl -I <studentmanager_url>/leave/add | grep -i "X-XSS-Protection"disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
Debido al modelo de lanzamiento continuo de ZeroWdd, no se dispone de información específica de versión para las actualizaciones. La mitigación principal se centra en la validación y el escape de la entrada del usuario. Implemente una validación estricta de todos los datos de entrada, especialmente el argumento 'Reason for Leave', para garantizar que solo se permitan caracteres seguros. Además, aplique un escape adecuado de la salida para evitar que el código inyectado se ejecute en el navegador del usuario. Considere el uso de una biblioteca de escape de XSS probada y confiable. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de contenido que el navegador puede cargar.
Debido a que el repositorio del proyecto no ha estado activo durante muchos años y utiliza un modelo de lanzamiento continuo sin información de versión específica disponible, se recomienda descontinuar el uso de este software o buscar una alternativa segura. Si es esencial mantenerlo, revise y corrija manualmente el código en `src/main/java/com/wdd/studentmanager/controller/LeaveController.java` para evitar la vulnerabilidad XSS en la función `addLeave`, escapando o sanitizando la entrada del argumento `Reason for Leave`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2201 is a cross-site scripting (XSS) vulnerability in ZeroWdd studentmanager versions up to 2151560fc0a50ec00426785ec1e01a3763b380d9, allowing attackers to inject malicious scripts.
If you are using ZeroWdd studentmanager versions up to 2151560fc0a50ec00426785ec1e01a3763b380d9, you are potentially affected by this XSS vulnerability.
Due to the rolling release model, a direct patch is unavailable. Implement input validation and output encoding on the 'Reason for Leave' field, and consider using a WAF.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Monitor your systems for suspicious activity.
Refer to the ZeroWdd project's official communication channels and documentation for the latest advisory regarding CVE-2026-2201.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.