Plataforma
php
Componente
5992b65cca5612c036f1d31d8d8f0646
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en SourceCodester Online Quiz System, afectando a la versión 1.0. Esta falla permite a un atacante inyectar código JavaScript malicioso a través de la manipulación del parámetro quiz_question en el archivo /add-question.php. La explotación exitosa puede resultar en el robo de cookies de sesión, redirecciones no deseadas y otras acciones maliciosas en el navegador de la víctima. La vulnerabilidad fue publicada el 27 de marzo de 2026.
La vulnerabilidad XSS en SourceCodester Online Quiz System permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario. Esto puede ser aprovechado para robar cookies de sesión, que pueden ser utilizadas para suplantar la identidad del usuario y acceder a información confidencial. Además, el atacante puede redirigir a los usuarios a sitios web maliciosos, mostrar ventanas emergentes falsas o realizar otras acciones maliciosas. Dado que la explotación es ahora pública, el riesgo de ataque es significativo, especialmente en entornos donde el sistema de cuestionarios se utiliza para recopilar información sensible o para autenticar a los usuarios.
La vulnerabilidad CVE-2026-4973 es de severidad baja según CVSS. La existencia de un Proof of Concept (PoC) público indica que la explotación es factible y que los atacantes pueden aprovecharla. No se ha reportado su inclusión en el KEV de CISA ni se han observado campañas de explotación activas a la fecha de publicación. Se recomienda monitorear la situación y aplicar las mitigaciones temporales hasta que se disponga de un parche oficial.
Organizations and individuals using SourceCodester Online Quiz System version 1.0, particularly those hosting the application on shared hosting environments or without robust security monitoring, are at increased risk. Educational institutions and businesses relying on the quiz system for assessments or training are also vulnerable.
• php / web:
curl -s -X POST "http://<target>/add-question.php?quiz_question=<script>alert('XSS')</script>" | grep "<script>alert('XSS')</script>"• generic web:
curl -I http://<target>/add-question.php?quiz_question=<script>alert('XSS')</script>• generic web: Examine access logs for requests to /add-question.php containing suspicious JavaScript code in the quiz_question parameter.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
Actualmente, no existe un parche oficial para esta vulnerabilidad. Como mitigación temporal, se recomienda implementar una validación estricta de la entrada del usuario en el archivo /add-question.php. Esto implica filtrar o escapar cualquier carácter especial que pueda ser interpretado como código JavaScript. Además, se puede considerar la implementación de una Web Application Firewall (WAF) que pueda detectar y bloquear intentos de explotación XSS. Es crucial monitorear los registros del servidor en busca de patrones sospechosos que puedan indicar un ataque en curso. Una vez disponible, actualizar a la versión corregida es la solución definitiva.
Actualizar SourceCodester Online Quiz System a una versión posterior a la 1.0. Si no hay actualizaciones disponibles, se recomienda deshabilitar o eliminar el componente vulnerable. Como medida temporal, se puede implementar una validación y sanitización exhaustiva de la entrada 'quiz_question' en el archivo add-question.php para prevenir la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4973 is a cross-site scripting (XSS) vulnerability in SourceCodester Online Quiz System versions up to 1.0, allowing attackers to inject malicious scripts via the /add-question.php endpoint.
If you are using SourceCodester Online Quiz System version 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as it's available.
The recommended fix is to upgrade to a patched version of SourceCodester Online Quiz System. Until then, implement input sanitization and WAF rules.
A proof-of-concept exploit is publicly available, suggesting a high probability of active exploitation.
Refer to the SourceCodester website and security forums for updates and advisories regarding CVE-2026-4973.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.