Plataforma
php
Corregido en
2.1.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Division Regional Athletic Meet Game Result Matrix System, específicamente en la versión 2.1. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'game_name' en el archivo save-games.php. El impacto principal es la posible ejecución de código arbitrario en el navegador de un usuario, comprometiendo su sesión y datos. La versión afectada es 2.1.
La vulnerabilidad XSS en Division Regional Athletic Meet Game Result Matrix System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de cualquier usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la instalación de malware. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser clickeado por un usuario, ejecute un script que robe sus credenciales de acceso al sistema. La explotación exitosa podría comprometer la integridad y confidencialidad de los datos del sistema y de los usuarios.
Un Proof of Concept (PoC) público para CVE-2026-3983 ya está disponible, lo que aumenta significativamente el riesgo de explotación. La vulnerabilidad no figura en el KEV de CISA ni se ha reportado explotación activa a la fecha. La publicación del CVE fue el 2026-03-12.
Organizations and individuals using the Division Regional Athletic Meet Game Result Matrix System version 2.1 are at risk. This includes gaming communities, educational institutions, and any environment where the system is deployed to manage game results. Shared hosting environments are particularly vulnerable, as a compromised account could be used to exploit the vulnerability on multiple websites.
• generic web: Use curl to test the save-games.php endpoint with various payloads. Check for reflected XSS.
curl 'http://example.com/save-games.php?game_name=<script>alert("XSS")</script>'• generic web: Examine access and error logs for suspicious requests containing XSS payloads targeting the game_name parameter.
• php: Review the save-games.php file for inadequate input validation or sanitization of the game_name variable. Look for missing or ineffective filtering functions.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-3983 es actualizar a una versión corregida del sistema Division Regional Athletic Meet Game Result Matrix System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento riguroso de todas las entradas de usuario, especialmente el argumento 'game_name'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Monitorear los logs del servidor en busca de patrones sospechosos de XSS también es crucial.
Actualice el sistema Division Regional Athletic Meet Game Result Matrix System a una versión parcheada que solucione la vulnerabilidad de Cross-Site Scripting (XSS) en el archivo save-games.php. Consulte al proveedor para obtener la versión corregida o aplique las medidas de seguridad necesarias para evitar la manipulación del argumento game_name.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3983 is a cross-site scripting (XSS) vulnerability in the save-games.php file of the Division Regional Athletic Meet Game Result Matrix System 2.1, allowing attackers to inject malicious scripts.
If you are using version 2.1 of the Division Regional Athletic Meet Game Result Matrix System, you are potentially affected by this vulnerability.
Upgrade to a patched version of the system. As an interim measure, implement a WAF rule to filter malicious input in the game_name parameter.
While there is no confirmed active exploitation, a public proof-of-concept exists, increasing the risk of attacks.
Refer to the vendor's official website or security advisory channels for the latest information and updates regarding CVE-2026-3983.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.