Plataforma
php
Componente
security
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema University Management System versión 1.0. Esta falla reside en una función desconocida del archivo /add_result.php y permite a un atacante inyectar scripts maliciosos mediante la manipulación del argumento 'vr'. La explotación exitosa puede resultar en el robo de información sensible, redirecciones no deseadas y otras acciones maliciosas.
La vulnerabilidad XSS en University Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede llevar al robo de cookies de sesión, permitiendo al atacante hacerse pasar por el usuario. Además, el atacante puede redirigir a los usuarios a sitios web maliciosos, inyectar contenido falso o realizar otras acciones que comprometan la integridad del sistema y la confidencialidad de los datos. Dado que la explotación ya ha sido publicada, el riesgo de ataque es significativo.
La vulnerabilidad CVE-2026-4356 ha sido publicada y un Proof of Concept (PoC) está disponible públicamente, lo que aumenta significativamente el riesgo de explotación. Aunque la severidad CVSS es baja (2.4), la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios hacen que esta vulnerabilidad deba ser tratada con prontitud. No se ha confirmado explotación activa a la fecha de publicación, pero la disponibilidad del PoC sugiere que es probable que se aproveche en el futuro.
Organizations utilizing itsourcecode University Management System version 1.0, particularly those with publicly accessible instances, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a successful exploit could potentially impact other users on the same server.
• php / web:
grep -r "/add_result.php" /var/www/html/• php / web:
curl -I http://your-university-management-system/add_result.php?vr=<script>alert(1)</script>• generic web:
curl -I http://your-university-management-system/add_result.php?vr=<script>alert(1)</script> | grep -i '200 ok'disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad XSS es la validación y el escaping adecuados de todas las entradas de usuario. Implementar una validación estricta del argumento 'vr' en el archivo /add_result.php, asegurándose de que solo se permitan caracteres seguros. Utilizar funciones de escaping apropiadas para codificar cualquier carácter especial antes de mostrar los datos en la página web. Considerar el uso de un Content Security Policy (CSP) para restringir las fuentes de JavaScript permitidas en la página, reduciendo el impacto potencial de un ataque XSS exitoso. Si la actualización a una versión corregida no es inmediatamente posible, implementar reglas de Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar esta vulnerabilidad.
Actualizar a una versión parcheada del University Management System. Contacte al proveedor para obtener una versión corregida o aplique un parche que filtre y escape correctamente la entrada del usuario en el archivo add_result.php, especialmente el argumento 'vr', para prevenir la inyección de código XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4356 is a cross-site scripting (XSS) vulnerability affecting version 1.0 of itsourcecode University Management System. It allows attackers to inject malicious scripts via manipulation of the 'vr' argument in /add_result.php.
If you are using itsourcecode University Management System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of itsourcecode University Management System. Until then, implement input validation and output encoding on the 'vr' parameter and consider using a WAF.
A public proof-of-concept exists, suggesting a potential for active exploitation. Organizations should prioritize mitigation to prevent attacks.
Please refer to the itsourcecode website or relevant security mailing lists for the official advisory regarding CVE-2026-4356.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.