Plataforma
php
Componente
e2953222b47c29c8c69855f5d623267d
Corregido en
1.0.1
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Patients Waiting Area Queue Management System de SourceCodester, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos de los usuarios. La vulnerabilidad afecta a la función desconocida del archivo /patient-search.php y se puede explotar de forma remota. Se recomienda actualizar a la versión corregida o implementar medidas de mitigación.
La vulnerabilidad XSS en Patients Waiting Area Queue Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de acceso de los usuarios al sistema, permitiéndole acceder a información confidencial sobre los pacientes o realizar acciones no autorizadas. La explotación exitosa de esta vulnerabilidad podría tener un impacto significativo en la seguridad y la privacidad de los datos del sistema.
La vulnerabilidad CVE-2026-3170 se ha hecho pública el 25 de febrero de 2026, y ya existe un proof-of-concept disponible. La probabilidad de explotación se considera alta debido a la facilidad de explotación y la disponibilidad pública del PoC. No se ha confirmado la explotación activa en campañas conocidas, pero la naturaleza pública de la vulnerabilidad y la disponibilidad del PoC la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de explotación.
Healthcare facilities and clinics using SourceCodester's Patients Waiting Area Queue Management System version 1.0 are at risk. Organizations with limited security expertise or those who haven't implemented robust input validation practices are particularly vulnerable. Shared hosting environments where multiple users share the same server resources are also at increased risk.
• php / web:
curl -I 'http://your-target-domain.com/patient-search.php?FirstName=<script>alert(1)</script>&LastName='• generic web:
grep -i '<script' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-3170 es actualizar el Patients Waiting Area Queue Management System a una versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de mitigación temporales. Se recomienda implementar una política de seguridad de contenido (CSP) para restringir las fuentes de scripts que se pueden ejecutar en la aplicación. Además, se debe validar y sanear cuidadosamente todos los datos de entrada del usuario, especialmente los campos Nombre y Apellido, para evitar la inyección de código malicioso. Se recomienda revisar el código fuente de /patient-search.php en busca de posibles vulnerabilidades y aplicar parches de seguridad. Después de implementar las mitigaciones, verificar la ausencia de XSS ejecutando pruebas de penetración.
Actualizar a una versión parcheada del sistema de gestión de colas de pacientes. Contacte al proveedor para obtener una versión corregida o aplique las medidas de seguridad necesarias para evitar la ejecución de código XSS en el archivo /patient-search.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3170 is a cross-site scripting (XSS) vulnerability affecting SourceCodester's Patients Waiting Area Queue Management System version 1.0, allowing attackers to inject malicious scripts.
If you are using version 1.0 of Patients Waiting Area Queue Management System, you are potentially affected by this XSS vulnerability.
Upgrade to a patched version of the Patients Waiting Area Queue Management System as soon as it is available from the vendor. Implement input validation and WAF rules as temporary mitigations.
A public proof-of-concept exists, suggesting a higher probability of active exploitation. Monitor your systems for suspicious activity.
Check the SourceCodester website and relevant security mailing lists for the official advisory regarding CVE-2026-3170.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.