Plataforma
php
Componente
cve-1
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el Student Management System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en las páginas web del sistema, potencialmente comprometiendo la información del usuario o redirigiéndolos a sitios web no confiables. La vulnerabilidad reside en una función desconocida del archivo /add_student/ dentro del módulo Add Student. Un Proof of Concept (PoC) público ya está disponible.
Un atacante puede aprovechar esta vulnerabilidad de XSS para ejecutar código JavaScript arbitrario en el navegador de cualquier usuario que visite la página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario. La naturaleza remota de la explotación significa que un atacante no necesita acceso directo al servidor para explotar la vulnerabilidad. La disponibilidad de un PoC público aumenta significativamente el riesgo de explotación.
La vulnerabilidad CVE-2026-2939 ha sido publicada públicamente el 22 de febrero de 2026. La disponibilidad de un Proof of Concept (PoC) público indica una alta probabilidad de explotación. Aunque la severidad CVSS es baja, el impacto potencial en la confidencialidad y la integridad de los datos del usuario justifica una respuesta rápida. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad del PoC aumenta el riesgo.
Educational institutions and organizations utilizing itsourcecode Student Management System version 1.0 are at risk. Specifically, those with publicly accessible student registration forms or profile update pages are particularly vulnerable. Shared hosting environments where multiple applications share the same server resources could also be impacted, as a successful exploit could potentially compromise other applications on the same server.
• php / web: Examine access logs for suspicious requests targeting /add_student/ with unusual parameters. Use grep to search for potentially malicious JavaScript code within the application's source code, particularly around input handling functions.
grep -r 'alert\(' /var/www/html/itsourcecode/add_student• generic web: Use curl to test the /add_student/ endpoint with various payloads designed to trigger XSS. Check response headers for unexpected content or scripting tags.
curl -X POST -d '<script>alert("XSS")</script>' http://example.com/add_student/disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata implica la aplicación de parches oficiales tan pronto como estén disponibles por parte del proveedor del Student Management System. En ausencia de un parche, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento rigurosos de todas las entradas del usuario en el lado del servidor. La configuración de una Web Application Firewall (WAF) con reglas para bloquear scripts XSS conocidos también puede ayudar a mitigar el riesgo. Además, se debe revisar y fortalecer la política de seguridad de contenido (CSP) para restringir las fuentes de scripts permitidas.
Actualice el Student Management System a una versión parcheada que solucione la vulnerabilidad de Cross-Site Scripting (XSS) en el módulo Add Student. Si no hay una versión disponible, revise y filtre las entradas del usuario en el módulo Add Student para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2939 is a cross-site scripting (XSS) vulnerability affecting itsourcecode Student Management System version 1.0, allowing attackers to inject malicious scripts via the /add_student/ file.
If you are using itsourcecode Student Management System version 1.0, you are potentially affected by this vulnerability. Immediate action is recommended.
Upgrade to a patched version of itsourcecode Student Management System. As a temporary workaround, implement strict input validation and output encoding.
A public proof-of-concept exists, indicating a potential for active exploitation. Prompt mitigation is advised.
Please refer to itsourcecode's official website or security channels for the latest advisory regarding CVE-2026-2939.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.