Plataforma
php
Componente
6b21cb788f7f545179286f6c44989448
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el Sistema de Gestión de Productos de Farmacia Web-based de SourceCodester, versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a la función desconocida del archivo edit-profile.php y puede ser explotada de forma remota. Se recomienda actualizar a la versión corregida o aplicar medidas de mitigación.
La vulnerabilidad XSS en el Sistema de Gestión de Productos de Farmacia permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario. Esto puede resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, robar las credenciales de un administrador de farmacia, permitiéndole acceder a información confidencial de pacientes o manipular el inventario. La explotación remota de esta vulnerabilidad amplía significativamente el riesgo, ya que no requiere interacción directa del usuario objetivo.
Esta vulnerabilidad ha sido publicada públicamente y existe un Proof of Concept (PoC) disponible, lo que aumenta la probabilidad de explotación. Aunque la severidad se clasifica como baja (CVSS 3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea una preocupación significativa. No se ha confirmado explotación activa a la fecha, pero la disponibilidad del PoC sugiere que es un objetivo potencial para atacantes.
Pharmacies and healthcare providers utilizing SourceCodester Web-based Pharmacy Product Management System version 1.0 are at direct risk. Shared hosting environments where multiple pharmacy systems reside on the same server are particularly vulnerable, as a compromise of one system could potentially lead to lateral movement and impact others.
• php / web:
grep -r 'fullname' /var/www/html/edit-profile.php | grep -i '<script' • generic web:
curl -I http://your-pharmacy-system/edit-profile.php?fullname=<script>alert(1)</script> | grep -i scriptdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es la validación estricta de todas las entradas de usuario, especialmente el parámetro 'fullname' en el archivo edit-profile.php. Implementar una lista blanca de caracteres permitidos y escapar cualquier entrada que no cumpla con estos criterios. Si la actualización a una versión corregida no es inmediatamente posible, se recomienda implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript malicioso. Además, monitorear los logs de la aplicación en busca de patrones sospechosos de inyección de código.
Actualizar a una versión parcheada del sistema de gestión de farmacia. Contacte al proveedor para obtener una versión corregida o aplique un parche que filtre la entrada del campo 'fullname' en el archivo 'edit-profile.php' para evitar la ejecución de código XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3766 is a cross-site scripting (XSS) vulnerability in SourceCodester Web-based Pharmacy Product Management System 1.0, allowing attackers to inject malicious scripts via the 'fullname' parameter.
If you are using SourceCodester Web-based Pharmacy Product Management System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of the software. Contact SourceCodester for an updated release. Implement input validation and output encoding as an interim measure.
A public proof-of-concept exists, indicating a potential for active exploitation. Monitor your systems closely and apply mitigations immediately.
Check the SourceCodester website and security forums for the latest advisory regarding CVE-2026-3766.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.