Plataforma
php
Componente
cvesmarz
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Accounting System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'costumername' en el archivo /myaccount/add_costumer.php. La explotación remota es posible, lo que podría resultar en el robo de información sensible o la suplantación de identidad de usuarios. La vulnerabilidad ha sido divulgada públicamente.
La vulnerabilidad XSS en Accounting System 1.0 permite a un atacante inyectar código JavaScript malicioso en la página web. Un usuario que visite una página comprometida ejecutará este código, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página. El impacto se amplifica si el sistema Accounting System se utiliza para gestionar información financiera confidencial, ya que un atacante podría acceder a datos bancarios o información de clientes. Esta vulnerabilidad es similar a otros ataques XSS que han afectado a diversas aplicaciones web, donde la falta de validación de entrada permite la inyección de código malicioso.
La vulnerabilidad CVE-2026-4835 ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. Aunque la severidad se clasifica como baja, la facilidad de explotación y el potencial impacto en la confidencialidad de los datos hacen que sea importante abordar esta vulnerabilidad lo antes posible. No se ha registrado en KEV ni se ha observado explotación activa a la fecha de publicación. Consulte el informe de NVD para obtener más detalles.
Organizations utilizing Accounting System 1.0, particularly those handling sensitive financial data or relying on the system for critical business operations, are at risk. Shared hosting environments where multiple users share the same instance of Accounting System are especially vulnerable, as an attacker could potentially compromise other users' accounts.
• generic web:
curl -I 'https://your-accounting-system/my_account/add_costumer.php?costumer_name=<script>alert("XSS")</script>' | grep -i 'content-type'• generic web:
grep -i 'alert("XSS")' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-4835 es la validación estricta de todas las entradas de usuario, especialmente el argumento 'costumername' en el archivo /myaccount/add_costumer.php. Implemente una lista blanca de caracteres permitidos y escape cualquier carácter especial antes de mostrar la entrada en la página web. Si la actualización a una versión corregida no es inmediatamente posible, considere implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Revise el código fuente para identificar y corregir otras posibles vulnerabilidades de XSS.
Actualizar a una versión parcheada del sistema de contabilidad. Contactar al proveedor para obtener una versión corregida o aplicar las medidas de seguridad necesarias para evitar la ejecución de código XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4835 is a cross-site scripting (XSS) vulnerability in Accounting System 1.0, allowing attackers to inject malicious scripts via the costumername parameter in /myaccount/add_costumer.php.
If you are using Accounting System version 1.0, you are potentially affected. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of Accounting System. Implement input validation and output encoding as temporary mitigations.
While no active exploitation campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the official Accounting System website or security mailing list for the latest advisory regarding CVE-2026-4835.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.