Plataforma
php
Componente
cves
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Student Record Management System de PHPGurukul, afectando a la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos. La vulnerabilidad se encuentra en el archivo /edit-course.php y se puede explotar de forma remota.
Un atacante puede aprovechar esta vulnerabilidad XSS para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos o la modificación del contenido de la página web. El impacto se amplifica si el sistema se utiliza para almacenar información sensible de los estudiantes, ya que un atacante podría acceder a esta información o modificarla. La explotación exitosa podría llevar a la suplantación de identidad y el acceso no autorizado a funcionalidades del sistema.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. La probabilidad de explotación se considera media debido a la facilidad de ejecución remota y la disponibilidad de información sobre la vulnerabilidad. No se ha confirmado la explotación activa en campañas conocidas, pero la divulgación pública requiere una atención inmediata para evitar posibles ataques. La vulnerabilidad fue publicada el 2026-03-02.
Organizations using PHPGurukul Student Record Management System version 1.0, particularly those with publicly accessible instances, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as an attacker could potentially compromise other users' accounts through this vulnerability.
• php / web:
grep -r "/edit-course.php" /var/www/html/• php / web:
curl -I http://your-student-record-system.com/edit-course.php?Course Short Name=<script>alert(1)</script>• generic web:
curl -I http://your-student-record-system.com/edit-course.php?Course Short Name=<script>alert(1)</script> | grep -i 'script'disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es la validación y el saneamiento de todas las entradas de usuario, especialmente el argumento 'Course Short Name' en el archivo /edit-course.php. Implementar una validación estricta de los datos de entrada para asegurar que solo se permitan caracteres seguros. Además, se recomienda aplicar una política de seguridad de contenido (CSP) para restringir las fuentes de scripts que pueden ejecutarse en la página web. Si la actualización a una versión corregida no es inmediatamente posible, se puede implementar una solución temporal utilizando un Web Application Firewall (WAF) para filtrar las solicitudes maliciosas.
Actualizar a una versión parcheada del sistema de gestión de registros de estudiantes de PHPGurukul. Si no hay una versión parcheada disponible, se recomienda sanitizar las entradas del usuario en el archivo edit-course.php, especialmente el argumento 'Course Short Name', para evitar la ejecución de código XSS. También se puede implementar una política de seguridad de contenido (CSP) para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3402 is a cross-site scripting (XSS) vulnerability affecting PHPGurukul Student Record Management System versions up to 1.0, allowing attackers to inject malicious scripts via the 'Course Short Name' parameter.
If you are using PHPGurukul Student Record Management System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of PHPGurukul Student Record Management System. Review vendor advisories for the latest updates and implement input validation as a temporary workaround.
The vulnerability has been publicly disclosed, increasing the likelihood of exploitation. Monitor your systems for suspicious activity and implement mitigation strategies.
Consult the PHPGurukul website and security advisories for the official advisory regarding CVE-2026-3402.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.