Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Online Reviewer System versión 1.0. Esta debilidad reside en la funcionalidad del archivo /system/system/admins/manage/users/btn_functions.php, permitiendo la ejecución de scripts maliciosos mediante la manipulación del argumento 'firstname'. El impacto potencial incluye el robo de cookies de sesión y redirecciones no deseadas. La vulnerabilidad ha sido divulgada públicamente y requiere atención inmediata.
La vulnerabilidad XSS en Online Reviewer System permite a un atacante inyectar código JavaScript malicioso en la página web. Este código puede ser ejecutado en el navegador de cualquier usuario que visite la página comprometida. Un atacante podría utilizar esta vulnerabilidad para robar las cookies de sesión de los usuarios, lo que les permitiría hacerse pasar por ellos y acceder a información confidencial o realizar acciones en su nombre. También podría utilizarse para redirigir a los usuarios a sitios web maliciosos o mostrarles contenido falso. La naturaleza remota de la explotación significa que cualquier usuario que interactúe con la aplicación web es potencialmente vulnerable.
La vulnerabilidad CVE-2026-2222 ha sido divulgada públicamente el 9 de febrero de 2026, lo que aumenta el riesgo de explotación. La disponibilidad de un Proof of Concept (PoC) público facilita la explotación por parte de atacantes con diferentes niveles de habilidad. No se ha confirmado la explotación activa en campañas conocidas, pero la divulgación pública y la disponibilidad del PoC sugieren un riesgo elevado. La severidad es baja según CVSS, pero el impacto puede ser significativo dependiendo del contexto de la aplicación.
Organizations using Online Reviewer System 1.0, particularly those with publicly accessible instances or those that handle sensitive user data, are at risk. Shared hosting environments where multiple users share the same server and application instance are also at increased risk, as a compromise of one user could potentially impact others.
• php / generic web:
grep -r 'firstname = $_POST' /system/system/admins/manage/users/btn_functions.php• generic web:
curl -I http://your-server.com/system/system/admins/manage/users/btn_functions.php?firstname=<script>alert(1)</script>disclosure
poc
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-2222 es actualizar a una versión parcheada del Online Reviewer System. Dado que no se proporciona una versión corregida, se recomienda implementar medidas de seguridad adicionales. La validación estricta de la entrada del usuario, especialmente el argumento 'firstname', es crucial. Esto incluye el saneamiento de la entrada para eliminar cualquier carácter potencialmente peligroso. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de un ataque XSS al restringir las fuentes de las que se pueden cargar los scripts. Monitorear los registros de la aplicación en busca de patrones sospechosos, como solicitudes con argumentos 'firstname' inusuales, también puede ayudar a detectar y responder a ataques.
Actualizar a una versión parcheada del sistema Online Reviewer System. Contacte al proveedor para obtener una versión corregida o aplique las medidas de seguridad necesarias para evitar la inyección de código XSS en el campo 'firstname'.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2222 is a cross-site scripting (XSS) vulnerability in Online Reviewer System 1.0 that allows remote attackers to inject malicious scripts by manipulating the 'firstname' parameter.
If you are using Online Reviewer System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of Online Reviewer System. As a temporary workaround, implement input validation and output encoding.
A public proof-of-concept exists, suggesting a high probability of active exploitation. Organizations should prioritize patching.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2026-2222.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.