Plataforma
php
Componente
collection-of-vulnerability
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Lawyer Management System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación a través de la manipulación del argumento 'Description' en el archivo /lawyer_booking.php. El impacto potencial incluye el robo de información sensible y la redirección de usuarios a sitios web maliciosos. La vulnerabilidad ha sido divulgada públicamente.
La vulnerabilidad XSS en Lawyer Management System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web comprometida. Esto puede llevar al robo de cookies de sesión, permitiendo al atacante hacerse pasar por el usuario. Además, el atacante podría redirigir al usuario a un sitio web de phishing para robar credenciales o instalar malware. El ataque se puede iniciar de forma remota, lo que amplía significativamente el radio de impacto. La divulgación pública de la vulnerabilidad aumenta el riesgo de explotación.
La vulnerabilidad CVE-2026-4626 ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la divulgación pública facilita la creación de exploits. La severidad se evalúa como baja (CVSS 3.5), pero el impacto potencial en la confidencialidad de los datos justifica una atención inmediata.
Law firms and legal professionals utilizing the Lawyer Management System version 1.0 are at risk. Organizations with limited security resources or those relying on unpatched software are particularly vulnerable. Shared hosting environments where multiple clients share the same server could also be affected, as a compromise of one client's instance could potentially impact others.
• php / web:
grep -r "Description = " /var/www/lawyer_management_system/• generic web:
curl -I http://your-lawyer-management-system/lawyer_booking.php?Description=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
Dado que no se proporciona una versión corregida, la mitigación inmediata implica implementar medidas de seguridad adicionales. Se recomienda encarecidamente validar y sanear todas las entradas de usuario, especialmente el argumento 'Description' en /lawyer_booking.php. Implementar una Web Application Firewall (WAF) con reglas para bloquear scripts XSS puede proporcionar una capa adicional de protección. Además, se debe revisar el código fuente para identificar y corregir la vulnerabilidad subyacente. Verificar que la configuración de PHP tenga habilitadas las funciones de protección contra XSS.
Actualizar a una versión parcheada o implementar medidas de saneamiento de entrada para evitar la ejecución de código XSS. Validar y escapar las entradas del usuario, especialmente el campo 'Description' en lawyer_booking.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4626 is a cross-site scripting (XSS) vulnerability affecting Lawyer Management System version 1.0, allowing attackers to inject malicious scripts via the /lawyer_booking.php file.
If you are using Lawyer Management System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of the Lawyer Management System. As a temporary workaround, implement input validation and output encoding on the Description field.
While active exploitation is not confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the projectworlds website or relevant security mailing lists for the official advisory regarding CVE-2026-4626.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.