Plataforma
php
Componente
reservation-management-module
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Resort Reservation System de SourceCodester, específicamente en la versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, lo que podría resultar en el robo de información sensible o el secuestro de la sesión del usuario. La vulnerabilidad se encuentra en el archivo /?page=manage_reservation del módulo de Gestión de Reservas y ha sido divulgada públicamente.
La vulnerabilidad XSS en Resort Reservation System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede ser explotado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web para engañar al usuario. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un administrador al intentar acceder al panel de administración. La falta de validación adecuada de la entrada del usuario en el parámetro ID es la causa raíz de esta vulnerabilidad, permitiendo la inyección de código malicioso.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la severidad se clasifica como Baja (CVSS 3.5), la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad lo antes posible. No se ha reportado explotación activa a la fecha de publicación (2026-03-09), pero la disponibilidad de la divulgación pública podría cambiar esto rápidamente.
Resorts and hospitality businesses utilizing SourceCodester Resort Reservation System version 1.0 are at direct risk. Shared hosting environments where multiple applications share resources are particularly vulnerable, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• generic web:
curl -I 'https://your-target-domain.com/?page=manage_reservation&ID=<script>alert(1)</script>' | grep -i 'content-type: text/html'• generic web:
curl 'https://your-target-domain.com/?page=manage_reservation&ID=<script>alert(1)</script>' | grep -o '<[^>]+>' | grep -q scriptdisclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-3819 es actualizar a la versión parcheada del Resort Reservation System, una vez que esté disponible. En ausencia de una actualización inmediata, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de todas las entradas del usuario en el archivo /?page=manage_reservation. Esto incluye el saneamiento de caracteres especiales y la codificación de la salida para prevenir la ejecución de scripts. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear los intentos de explotación. Monitorear los logs de la aplicación en busca de patrones sospechosos de inyección de scripts también es crucial.
Actualizar el sistema SourceCodester Resort Reservation System a una versión posterior a la 1.0, si está disponible, o aplicar las medidas de seguridad necesarias para evitar la ejecución de scripts maliciosos en el módulo de gestión de reservas. Validar y limpiar las entradas del usuario en el parámetro ID para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3819 is a cross-site scripting (XSS) vulnerability in SourceCodester Resort Reservation System 1.0, allowing attackers to inject malicious scripts via the /?page=manage_reservation endpoint.
You are affected if you are using SourceCodester Resort Reservation System version 1.0 and have not applied a patch or implemented mitigating controls.
Upgrade to a patched version of SourceCodester Resort Reservation System. If upgrading is not immediately possible, implement WAF rules and input validation as temporary mitigations.
While no active campaigns are confirmed, the public disclosure increases the risk of exploitation by opportunistic attackers.
Refer to the SourceCodester website or relevant security forums for updates and advisories regarding CVE-2026-3819.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.