Plataforma
php
Componente
2aed32e2a7ca5a648105bfdffd72a955
Corregido en
1.0.1
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Patients Waiting Area Queue Management System de SourceCodester, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar código malicioso a través de la manipulación de los argumentos 'firstname' o 'lastname' en el archivo /queue.php. La explotación exitosa puede resultar en el robo de información sensible y la ejecución de acciones no autorizadas en nombre del usuario.
La vulnerabilidad XSS en Patients Waiting Area Queue Management System permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario que visite una página comprometida. Esto puede llevar al robo de cookies de sesión, permitiendo al atacante hacerse pasar por el usuario. Además, el atacante puede redirigir al usuario a sitios web maliciosos, inyectar contenido falso o realizar otras acciones perjudiciales. Dada la naturaleza de un sistema de gestión de colas de pacientes, la información sensible como nombres, datos de contacto y posiblemente información médica podría estar en riesgo. La explotación podría ser utilizada para campañas de phishing dirigidas a usuarios del sistema.
La vulnerabilidad CVE-2026-3171 ha sido publicada y un Proof of Concept (PoC) está disponible públicamente, lo que aumenta significativamente el riesgo de explotación. La severidad es clasificada como LOW (CVSS 3.5). No se ha reportado actividad de explotación activa a la fecha, pero la disponibilidad del PoC sugiere que es probable que los atacantes comiencen a explorar esta vulnerabilidad. Se recomienda monitorear los sistemas afectados para detectar signos de intrusión.
Healthcare providers and clinics utilizing the Patients Waiting Area Queue Management System version 1.0 are at direct risk. Organizations relying on this system for patient queue management, particularly those with limited security resources or outdated infrastructure, are especially vulnerable. Shared hosting environments where multiple applications share the same server resources also increase the potential for cross-site contamination.
• php / web:
curl -I 'http://your-queue-system.com/queue.php?firstname=<script>alert(1)</script>&lastname=test' | grep -i content-type• generic web:
curl -s 'http://your-queue-system.com/queue.php?firstname=<script>alert(1)</script>&lastname=test' | grep alertdisclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es la validación y saneamiento riguroso de todas las entradas de usuario, particularmente los argumentos 'firstname' y 'lastname' en el archivo /queue.php. Implementar una lista blanca de caracteres permitidos o utilizar funciones de escape adecuadas puede prevenir la inyección de código malicioso. Si la actualización a una versión corregida no es inmediatamente posible, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones de XSS conocidos. Además, se debe revisar el código fuente para identificar y corregir otras posibles vulnerabilidades de XSS.
Actualizar a una versión parcheada del sistema de gestión de colas de pacientes. Si no hay una versión parcheada disponible, se recomienda desinfectar las entradas firstname y lastname para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3171 is a cross-site scripting (XSS) vulnerability in SourceCodester's Patients Waiting Area Queue Management System version 1.0, allowing attackers to inject malicious scripts via the /queue.php file.
If you are using Patients Waiting Area Queue Management System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of the Patients Waiting Area Queue Management System. Contact SourceCodester for an updated release. Implement input validation as a temporary workaround.
A public proof-of-concept exists, indicating a potential for active exploitation. Organizations should prioritize patching to mitigate the risk.
Check the SourceCodester website or contact them directly for the official advisory regarding CVE-2026-3171.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.