Plataforma
php
Componente
cves
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Student Record Management System, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar código malicioso a través de la manipulación del argumento 'Subject 1' en el archivo /edit-subject.php, lo que podría resultar en el robo de información sensible o redirecciones no deseadas. La vulnerabilidad es explotable de forma remota y ya se encuentra disponible públicamente.
La vulnerabilidad XSS en Student Record Management System permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario legítimo. Esto puede llevar al robo de cookies de sesión, permitiendo al atacante hacerse pasar por el usuario afectado y acceder a información confidencial dentro del sistema. Además, el atacante podría redirigir a los usuarios a sitios web maliciosos, comprometiendo aún más su seguridad. La explotación exitosa podría resultar en la exposición de datos de estudiantes, información personal de los administradores y la manipulación de registros académicos.
La vulnerabilidad CVE-2026-3403 es de baja severidad según el CVSS 2.4. La existencia de un Proof of Concept (PoC) público indica que la explotación es factible. No se ha confirmado explotación activa a la fecha de publicación, pero la disponibilidad del PoC aumenta el riesgo de ataques. La vulnerabilidad fue publicada el 2026-03-02.
Organizations using PHPGurukul Student Record Management System version 1.0 are at risk. This includes educational institutions, training centers, and any entity utilizing this system for student record management. Shared hosting environments are particularly vulnerable, as a compromised account on one site could potentially impact other sites hosted on the same server.
• php / web:
grep -r "Subject 1" /var/www/html/edit-subject.php• php / web:
curl -I http://your-student-record-system.com/edit-subject.php?Subject%201=<script>alert(1)</script>• generic web: Examine access logs for requests to /edit-subject.php containing suspicious characters in the Subject 1 parameter. • generic web: Check for unusual JavaScript code being injected into the Student Record Management System's pages.
disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
Dado que no se proporciona una versión corregida, la mitigación inmediata implica implementar medidas de seguridad adicionales. Se recomienda aplicar un Web Application Firewall (WAF) con reglas que bloqueen la inyección de scripts en el archivo /edit-subject.php. Además, se debe validar y sanear rigurosamente todas las entradas de usuario, especialmente el argumento 'Subject 1', antes de procesarlas. Implementar políticas de Content Security Policy (CSP) puede ayudar a restringir las fuentes de scripts permitidas, reduciendo el impacto potencial de un ataque XSS. Monitorear los registros del servidor en busca de patrones de inyección de scripts es crucial.
Actualizar a una versión parcheada del sistema de gestión de registros de estudiantes. Si no hay una versión parcheada disponible, se recomienda sanitizar las entradas del usuario en el archivo edit-subject.php para evitar la ejecución de código XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3403 is a cross-site scripting (XSS) vulnerability affecting PHPGurukul Student Record Management System version 1.0, allowing attackers to inject malicious scripts via the /edit-subject.php file.
If you are using PHPGurukul Student Record Management System version 1.0, you are potentially affected by this vulnerability. Upgrade is highly recommended.
Upgrade to a patched version of the Student Record Management System. As a temporary workaround, implement input validation and output encoding on the 'Subject 1' parameter.
The exploit is publicly available, increasing the risk of exploitation. While no confirmed active campaigns are currently reported, vigilance is advised.
Refer to the PHPGurukul website or security mailing lists for official advisories and updates regarding CVE-2026-3403.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.