Plataforma
php
Componente
cvesmarz
Corregido en
16.5.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en TCExam versión 16.5.0. Esta falla permite a un atacante inyectar scripts maliciosos en el sitio web, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a la función desconocida del archivo /admin/code/tceeditgroup.php y se puede explotar de forma remota. Se recomienda actualizar a la última versión disponible.
La vulnerabilidad XSS en TCExam permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de los administradores, permitiéndole acceder a la administración del sistema. La explotación remota de esta vulnerabilidad representa un riesgo significativo para la seguridad de la aplicación y sus usuarios.
La vulnerabilidad CVE-2026-4168 tiene un exploit público disponible, lo que aumenta el riesgo de explotación. Aunque el proveedor afirma que la vulnerabilidad ya no es reproducible en versiones más recientes, la disponibilidad de un PoC indica que la explotación es factible. La vulnerabilidad fue publicada el 2026-03-15. La evaluación de la probabilidad de explotación es moderada debido a la disponibilidad del exploit y la naturaleza de la vulnerabilidad XSS.
Organizations using Tecnick TCExam version 16.5.0, particularly those with publicly accessible administration interfaces, are at risk. Shared hosting environments where multiple users share the same TCExam instance are also at increased risk, as an attacker could potentially compromise other users' accounts.
• wordpress / composer / npm:
grep -r "tce_edit_group.php" /var/www/html/• generic web:
curl -I http://your-tc-exam-site.com/admin/code/tce_edit_group.php | grep -i "X-Powered-By"disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-4168 es actualizar TCExam a una versión corregida. Dado que el proveedor indica que versiones más recientes ya han abordado la vulnerabilidad, se recomienda actualizar a la versión más reciente disponible. Como medida temporal, se podría implementar una validación estricta de la entrada del usuario en el archivo /admin/code/tceeditgroup.php para evitar la inyección de código malicioso. Además, se recomienda revisar y fortalecer las políticas de seguridad del sitio web, incluyendo la implementación de un Content Security Policy (CSP) para restringir las fuentes de scripts permitidas.
Actualizar a una versión posterior a la 16.5.0 de TCExam. Según el proveedor, el problema se solucionó en una versión posterior, aunque no se especifica cuál. Se recomienda obtener la última versión disponible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4168 is a cross-site scripting (XSS) vulnerability in Tecnick TCExam version 16.5.0, allowing attackers to inject malicious scripts via the 'Name' parameter in /admin/code/tceeditgroup.php.
If you are using Tecnick TCExam version 16.5.0, you are potentially affected. The vendor suggests later versions may be patched, so verify your version.
Upgrade to a patched version of Tecnick TCExam. Implement input validation and output encoding as a temporary workaround.
While active exploitation is not confirmed, a public proof-of-concept exists, suggesting a potential risk of exploitation.
Refer to the vendor's official communication channels and security advisories for the most up-to-date information regarding CVE-2026-4168.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.