Plataforma
php
Componente
cvesmarz
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Online Food Ordering System versión 1.0. Esta falla afecta a la funcionalidad del archivo /dbfood/food.php, permitiendo la inyección de scripts maliciosos a través de la manipulación del argumento 'cuisines'. La explotación exitosa de esta vulnerabilidad podría resultar en el robo de información sensible del usuario y la ejecución de código arbitrario en el contexto del usuario.
La vulnerabilidad XSS en Online Food Ordering System permite a un atacante inyectar código JavaScript malicioso en la página web. Este código puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. Dado que la explotación es remota, cualquier usuario que visite una página web comprometida podría verse afectado. El impacto potencial incluye el robo de credenciales de usuario, la manipulación de pedidos, y la propagación de malware a través del sitio web.
Un Proof of Concept (PoC) para esta vulnerabilidad ha sido publicado públicamente, lo que aumenta el riesgo de explotación. La vulnerabilidad ha sido publicada el 2026-03-26. La severidad se evalúa como Baja (CVSS 2.4). No se ha confirmado explotación activa en campañas conocidas, pero la disponibilidad del PoC sugiere que podría ser utilizada por atacantes.
Businesses and individuals using the Online Food Ordering System version 1.0 are at risk, particularly those who have not implemented robust input validation and sanitization practices. Shared hosting environments where multiple applications share the same server are also at increased risk, as a compromised application could potentially impact others.
• php / web:
grep -r 'cuisines' /var/www/html/dbfood/food.php• generic web:
curl -I <affected_url>/dbfood/food.php?cuisines=<script>alert(1)</script>• generic web: Check access logs for requests to /dbfood/food.php with unusual or suspicious values in the cuisines parameter.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-4899 es la validación y saneamiento riguroso de todas las entradas de usuario, especialmente el argumento 'cuisines' en el archivo /dbfood/food.php. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la vulnerabilidad al restringir las fuentes de las que se pueden cargar los scripts. Si la actualización a una versión corregida no es inmediatamente posible, considere implementar un Web Application Firewall (WAF) para filtrar las solicitudes maliciosas. Además, revise el código fuente para identificar y corregir cualquier otra instancia de entrada no validada.
Actualizar el sistema Online Food Ordering System a una versión parcheada que solucione la vulnerabilidad de Cross-Site Scripting (XSS). Si no hay una actualización disponible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de las entradas del usuario, para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4899 is a cross-site scripting (XSS) vulnerability in Online Food Ordering System version 1.0, affecting the /dbfood/food.php file. Attackers can inject malicious scripts by manipulating the 'cuisines' argument.
If you are using Online Food Ordering System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as it becomes available.
The vendor is expected to release a patch. Until then, implement input validation, output encoding, and consider using a WAF to mitigate the risk.
A public exploit exists, suggesting a higher likelihood of active exploitation. Monitor your application and logs for suspicious activity.
Refer to the Online Food Ordering System website or vendor communication channels for the official advisory and patch information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.