Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Online Reviewer System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'firstname' en el archivo /system/system/admins/manage/users/btn_functions.php. El impacto potencial es la ejecución de código arbitrario en el navegador de un usuario, comprometiendo su sesión y datos. La vulnerabilidad afecta a la versión 1.0 y el exploit ya se encuentra disponible públicamente.
La vulnerabilidad XSS en Online Reviewer System permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario autenticado. Esto puede llevar a la suplantación de identidad, robo de cookies de sesión, redirección a sitios maliciosos y la manipulación de la interfaz de usuario para engañar al usuario. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un administrador y enviarlas a un servidor controlado por el atacante. La naturaleza remota de la explotación significa que un atacante no necesita acceso directo al servidor para aprovecharse de esta vulnerabilidad. La disponibilidad pública del exploit aumenta significativamente el riesgo de explotación.
El exploit para CVE-2026-2224 es actualmente público, lo que aumenta significativamente la probabilidad de explotación. La vulnerabilidad fue publicada el 9 de febrero de 2026. No se ha confirmado explotación activa a la fecha, pero la disponibilidad del exploit sugiere que es probable que se utilice en ataques dirigidos o masivos. La severidad se evalúa como baja según el CVSS, pero la facilidad de explotación y el impacto potencial justifican una respuesta inmediata.
Organizations utilizing the Online Reviewer System 1.0, particularly those with publicly accessible admin interfaces, are at significant risk. Shared hosting environments where multiple users share the same server resources are especially vulnerable, as a compromise of one user could potentially impact others.
• php / web:
grep -r 'firstname = $_POST' /var/www/html/• generic web:
curl -I <target_url>/system/system/admins/manage/users/btn_functions.php?firstname=<script>alert(1)</script>• generic web:
grep -r 'firstname = $_POST' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata para CVE-2026-2224 implica la aplicación de parches oficiales tan pronto como estén disponibles. En ausencia de un parche, se recomienda implementar una validación estricta de la entrada del usuario, específicamente para el argumento 'firstname'. Esto puede incluir el uso de funciones de escape HTML o la implementación de una lista blanca de caracteres permitidos. Además, se puede considerar la implementación de una Web Application Firewall (WAF) con reglas que detecten y bloqueen intentos de inyección de scripts. Es crucial revisar y actualizar las políticas de seguridad del sitio web para prevenir futuras vulnerabilidades XSS.
Actualizar el sistema Online Reviewer System a una versión posterior a la 1.0, si existe, que corrija la vulnerabilidad de Cross-Site Scripting (XSS) en el archivo btn_functions.php. Alternativamente, sanitizar las entradas del usuario, especialmente el argumento 'firstname', para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2224 is a cross-site scripting (XSS) vulnerability in Online Reviewer System 1.0, allowing attackers to inject malicious scripts via the firstname parameter. It's rated as LOW severity.
If you are using Online Reviewer System version 1.0, you are potentially affected. Immediate mitigation steps are recommended until a patch is released.
A patch is not yet available. Mitigate by implementing input sanitization, WAF rules, and a Content Security Policy (CSP).
The exploit is publicly available, suggesting a high probability of active exploitation. Organizations should act quickly to mitigate the risk.
Refer to the NVD entry for CVE-2026-2224 for the latest information and any official advisories from code-projects.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.