Plataforma
php
Componente
cvesmarz
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Online Reviewer System, específicamente en la versión 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a una función desconocida dentro del archivo /system/system/students/assessments/databank/btn_functions.php, y la manipulación del argumento 'Description' es la causa principal. Se recomienda actualizar a la versión corregida o implementar medidas de mitigación inmediatas.
La vulnerabilidad XSS en Online Reviewer System permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un usuario y las envíe a un servidor controlado por el atacante. La explotación exitosa de esta vulnerabilidad podría comprometer la información confidencial de los estudiantes y del personal administrativo, así como la integridad del sistema de reseñas en línea. La naturaleza remota de la explotación aumenta el riesgo de ataques a gran escala.
Esta vulnerabilidad ha sido divulgada públicamente, lo que aumenta el riesgo de explotación. No se ha confirmado la explotación activa en campañas específicas, pero la disponibilidad de la información sobre la vulnerabilidad la convierte en un objetivo atractivo para los atacantes. La vulnerabilidad se encuentra en un componente web, lo que la hace susceptible a ataques desde cualquier ubicación. La falta de una versión corregida disponible aumenta la urgencia de implementar medidas de mitigación.
Organizations utilizing the Online Reviewer System, particularly those with a large user base or sensitive data, are at risk. Shared hosting environments where multiple users share the same server and application instance are especially vulnerable, as an attacker could potentially compromise other users through this XSS vulnerability.
• php / server:
grep -r "btn_functions.php" /var/www/html/• generic web:
curl -I http://your-online-reviewer-system/system/system/students/assessments/databank/btn_functions.php | grep -i "X-XSS-Protection"disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-4972 es actualizar a una versión corregida del sistema Online Reviewer System. Dado que no se proporciona una versión fija, se recomienda implementar medidas de seguridad adicionales. Una solución temporal es aplicar una validación estricta de la entrada del usuario, especialmente para el argumento 'Description' en el archivo /system/system/students/assessments/databank/btn_functions.php. Esto implica filtrar o escapar cualquier carácter potencialmente peligroso antes de mostrarlo en la página web. Además, se recomienda implementar una política de seguridad de contenido (CSP) para restringir las fuentes de scripts que pueden ejecutarse en la aplicación. Si la actualización no es posible de inmediato, considere implementar un Web Application Firewall (WAF) con reglas para bloquear ataques XSS conocidos.
Actualizar a una versión parcheada o aplicar las medidas de seguridad recomendadas por el proveedor para mitigar la vulnerabilidad XSS. Verificar y sanear las entradas del usuario, especialmente el campo 'Description', para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4972 is a cross-site scripting (XSS) vulnerability affecting Online Reviewer System versions up to 1.0. It allows attackers to inject malicious scripts via the Description argument, potentially compromising user sessions.
If you are using Online Reviewer System version 1.0, you are potentially affected. Assess your environment and implement mitigations immediately.
Upgrade to a patched version of Online Reviewer System. If a patch is unavailable, implement input validation and output encoding to prevent script injection.
The vulnerability has been publicly disclosed and an exploit is available, increasing the likelihood of active exploitation. Proactive mitigation is recommended.
Refer to the Online Reviewer System project's official website or security advisory page for updates and information regarding CVE-2026-4972.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.