Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el componente Exam Form Submission, específicamente en la versión 1.0. Esta falla reside en el procesamiento de archivos en la ruta /admin/update_s2.php, donde la manipulación del argumento 'sname' puede permitir la inyección de código malicioso. La explotación exitosa de esta vulnerabilidad podría resultar en el robo de información sensible o la ejecución de acciones no autorizadas.
Un atacante podría aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en la página web de Exam Form Submission. Esto podría permitir el robo de cookies de sesión de los usuarios, lo que a su vez podría dar al atacante acceso a sus cuentas. Además, el atacante podría redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web para mostrar información falsa o engañosa. La naturaleza remota de la explotación significa que cualquier usuario que visite la página vulnerable podría ser afectado.
Un Proof of Concept (PoC) para esta vulnerabilidad ha sido publicado, lo que indica una mayor probabilidad de explotación. Aunque la severidad se clasifica como baja, la facilidad de explotación y el potencial impacto en la confidencialidad de los usuarios hacen que sea importante abordar esta vulnerabilidad lo antes posible. La publicación del CVE el 2026-03-23 sugiere que la vulnerabilidad ha sido recientemente descubierta y divulgada.
Organizations utilizing code-projects Exam Form Submission version 1.0, particularly those with publicly accessible administrative interfaces, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially compromise other applications on the same server.
• php / web: Examine access logs for requests to /admin/update_s2.php containing unusual or suspicious characters in the 'sname' parameter.
grep 'sname=[^a-zA-Z0-9_ ]+' /var/log/apache2/access.log• php / web: Search application files for instances where the 'sname' parameter is used without proper sanitization or encoding.
grep -r 'sname =' /var/www/html/code-projects/Exam Form Submission/disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es la validación estricta de la entrada del usuario en el archivo /admin/update_s2.php. Implementar una limpieza adecuada del argumento 'sname' antes de utilizarlo en la página web puede prevenir la inyección de código malicioso. Si la actualización a una versión corregida no es inmediatamente posible, considere implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres sospechosos en el argumento 'sname'. Además, revise el código fuente en busca de otras posibles vulnerabilidades XSS.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del parámetro 'sname' en el archivo /admin/update_s2.php. Validar y limpiar las entradas del usuario para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4575 is a Cross-Site Scripting (XSS) vulnerability in code-projects Exam Form Submission version 1.0, allowing attackers to inject malicious scripts via the /admin/update_s2.php file.
If you are using code-projects Exam Form Submission version 1.0 and have not applied a patch, you are likely affected by this vulnerability.
Upgrade to a patched version of code-projects Exam Form Submission. If a patch is not available, implement input validation and sanitization on the 'sname' parameter and consider using a WAF.
Yes, a public exploit is available, indicating a high probability of active exploitation.
Check the code-projects website or repository for official advisories and updates related to CVE-2026-4575.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.