Plataforma
php
Componente
public
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema University Management System versión 1.0. Esta falla afecta a la función desconocida del archivo /adminsinglestudentupdate.php, permitiendo la manipulación del argumento 'stname'. La explotación de esta vulnerabilidad puede ser iniciada de forma remota, comprometiendo la integridad de la aplicación.
Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en las páginas web del University Management System. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. La ejecución de código arbitrario en el contexto del usuario autenticado es posible, lo que podría llevar a la comprometer la información confidencial almacenada en el sistema. La naturaleza remota de la explotación aumenta el riesgo de ataques a gran escala.
Un Proof of Concept (PoC) para esta vulnerabilidad ha sido publicado, lo que indica una alta probabilidad de explotación. La vulnerabilidad fue divulgada el 2026-03-20. No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad del PoC aumenta el riesgo. La severidad es baja según CVSS, pero el impacto potencial en la confidencialidad y la integridad de los datos justifica una atención inmediata.
Administrators and users of itsourcecode University Management System version 1.0 are at risk. Organizations relying on this system for student data management, particularly those with limited security resources or outdated configurations, are especially vulnerable. Shared hosting environments where multiple users share the same server instance are also at increased risk.
• php / web:
grep -r 'st_name' /var/www/html/itsourcecode/admin_single_student_update.php• generic web:
curl -I http://your-university-management-system/admin_single_student_update.php?st_name=<script>alert(1)</script>• generic web: Examine access logs for requests to /adminsinglestudentupdate.php containing suspicious characters or script tags in the 'stname' parameter.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión corregida del University Management System. Mientras tanto, se recomienda implementar una validación estricta de la entrada del usuario, especialmente para el parámetro 'stname' en /adminsinglestudentupdate.php. Implementar políticas de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los scripts inyectados. Monitorear los logs del servidor en busca de patrones sospechosos, como solicitudes con caracteres inusuales en el parámetro 'st_name', también es crucial.
Actualizar a una versión parcheada del sistema de gestión universitaria. Contacte al proveedor para obtener una versión corregida o aplique las medidas de seguridad necesarias para evitar la ejecución de scripts maliciosos en el campo st_name.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4474 is a cross-site scripting (XSS) vulnerability in itsourcecode University Management System version 1.0, allowing attackers to inject malicious scripts via the 'stname' parameter in /adminsinglestudentupdate.php.
If you are using itsourcecode University Management System version 1.0, you are potentially affected by this vulnerability. Upgrade as soon as possible.
Upgrade to a patched version of itsourcecode University Management System. If a patch is unavailable, implement input validation and WAF rules as temporary mitigations.
A public proof-of-concept exploit is available, suggesting a potential for active exploitation. Monitor your system closely.
Consult the itsourcecode website or relevant security mailing lists for the official advisory regarding CVE-2026-4474.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.