Plataforma
php
Componente
tcexam
Corregido en
16.6.1
16.6.1
16.6.1
16.6.1
16.6.1
16.6.1
16.6.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en TCExam hasta la versión 16.6.0. Esta falla afecta a la función Fxmlexportusers del archivo admin/code/tcexml_users.php, permitiendo la ejecución de código malicioso. La actualización a la versión 16.6.1 soluciona este problema, y se recomienda aplicar la actualización para protegerse contra posibles ataques.
Un atacante puede explotar esta vulnerabilidad XSS inyectando código JavaScript malicioso a través de la función Fxmlexport_users. Este código se ejecutará en el navegador de cualquier usuario que acceda a la página afectada, permitiendo al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o realizar acciones en nombre del usuario. El impacto potencial incluye la comprometer la confidencialidad e integridad de los datos del usuario, así como la posible toma de control de la aplicación TCExam.
La vulnerabilidad CVE-2026-4169 fue publicada el 15 de marzo de 2026. Aunque se expresa cierta duda sobre la existencia real de la vulnerabilidad, la publicación del CVE indica que ha sido identificada y reportada. No se han reportado campañas de explotación activas conocidas al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations using TCExam for exam management, particularly those with web-based interfaces, are at risk. Shared hosting environments where TCExam is installed alongside other applications are also vulnerable, as a compromise of one application could potentially lead to the exploitation of this XSS vulnerability in TCExam.
• php: Examine the admin/code/tcexmlusers.php file for the Fxmlexport_users function. Search for instances where user-supplied data is directly outputted without proper sanitization.
grep -r 'F_xml_export_users' /path/to/tcexam/admin/code/disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar TCExam a la versión 16.6.1, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda revisar y restringir el acceso a la función Fxmlexportusers, validando estrictamente todas las entradas. Implementar políticas de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la ejecución de scripts maliciosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la función Fxmlexportusers ya no sea susceptible a la inyección de código.
Actualice TCExam a la versión 16.6.1 o posterior. Esta actualización corrige la vulnerabilidad de cross-site scripting (XSS) en la función F_xml_export_users del archivo admin/code/tce_xml_users.php. La actualización está disponible en el repositorio oficial de Tecnick TCExam.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4169 is a cross-site scripting (XSS) vulnerability affecting TCExam versions 16.0 through 16.6.0, allowing attackers to inject malicious scripts.
You are affected if you are using TCExam versions 16.0 to 16.6.0. Upgrade to version 16.6.1 to resolve the issue.
Upgrade TCExam to version 16.6.1. As a temporary workaround, implement input validation and output encoding.
While no active exploitation has been confirmed, the vulnerability's nature makes it potentially exploitable, and prompt remediation is recommended.
Refer to the vendor's official security advisory for detailed information and updates regarding CVE-2026-4169.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.