Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el componente Exam Form Submission, versión 1.0. Esta falla permite a un atacante inyectar código JavaScript malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad reside en la función desconocida del archivo /admin/update_s4.php, específicamente en el manejo del argumento 'sname'.
Un atacante puede explotar esta vulnerabilidad para ejecutar scripts maliciosos en el navegador de un usuario que visite la aplicación. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. La inyección de scripts podría ser utilizada para obtener credenciales de usuario, realizar acciones en nombre del usuario, o incluso comprometer la aplicación completa. Dado que la explotación es pública, el riesgo de ataque es significativo.
La vulnerabilidad CVE-2026-4577 ha sido publicada y existe una prueba de concepto (PoC) disponible públicamente, lo que indica una alta probabilidad de explotación. La vulnerabilidad no figura en el KEV de CISA al momento de la redacción. La divulgación pública el 2026-03-23 aumenta el riesgo de ataques dirigidos.
Administrators and users of Exam Form Submission 1.0 are at risk. Systems with weak input validation or lacking a WAF are particularly vulnerable. Shared hosting environments utilizing this software are also at increased risk due to the potential for cross-tenant exploitation.
• php / server:
grep -r 'sname' /var/www/html/admin/update_s4.php• generic web:
curl -I http://your-exam-form-submission-url/admin/update_s4.php?sname=<script>alert(1)</script>• generic web:
curl 'http://your-exam-form-submission-url/admin/update_s4.php?sname=<img src=x onerror=alert(1)>' -s -o /dev/null -w '%{http_code}
'disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión parcheada de Exam Form Submission. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento riguroso de todas las entradas de usuario, especialmente el argumento 'sname' en el archivo /admin/update_s4.php. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Es crucial revisar y fortalecer las políticas de seguridad del contenido (CSP) para limitar la ejecución de scripts no autorizados.
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del parámetro 'sname' en el archivo '/admin/update_s4.php'. Validar y limpiar las entradas del usuario es crucial para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4577 is a cross-site scripting (XSS) vulnerability in Exam Form Submission 1.0, allowing attackers to inject malicious scripts via the 'sname' parameter in /admin/update_s4.php.
If you are using Exam Form Submission version 1.0 and have not applied a patch, you are potentially affected by this XSS vulnerability.
Upgrade to a patched version of Exam Form Submission. If a patch is unavailable, implement strict input validation and output encoding on the 'sname' parameter and consider a WAF.
A public exploit exists, indicating a potential for active exploitation. Prompt mitigation is recommended.
Refer to the code-projects repository and associated security advisories for updates and information regarding CVE-2026-4577.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.