Plataforma
php
Componente
simple-customer-relationship-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Simple Customer Relationship Management System de SourceCodester, específicamente en la versión 1.0. Esta falla reside en el manejo del argumento 'Description' dentro del archivo /create-ticket.php, permitiendo la inyección de código malicioso. La explotación remota es posible y la vulnerabilidad ya ha sido divulgada públicamente.
Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en la página web del Simple Customer Relationship Management System. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página. El impacto se amplifica si el sistema se utiliza para almacenar información sensible de clientes, ya que un atacante podría acceder a esta información o realizar acciones en nombre de usuarios legítimos. La divulgación pública de la vulnerabilidad aumenta el riesgo de explotación.
La vulnerabilidad CVE-2026-5325 ha sido divulgada públicamente el 2 de abril de 2026. Existe un Proof of Concept (PoC) disponible, lo que facilita la explotación por parte de atacantes. La baja puntuación CVSS (3.5) indica un riesgo relativamente bajo, pero la divulgación pública y la disponibilidad de un PoC aumentan la probabilidad de explotación, especialmente en sistemas no parcheados.
Organizations using Simple Customer Relationship Management System version 1.0, particularly those with publicly accessible instances or those handling sensitive customer data, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised account could be used to exploit the vulnerability and impact other users.
• php / web:
curl -I 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep -i 'X-Powered-By'• generic web:
curl -s 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep 'alert("XSS")'disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión corregida del Simple Customer Relationship Management System, si está disponible. En ausencia de una actualización inmediata, se recomienda implementar medidas de seguridad adicionales. Estas incluyen la validación y el saneamiento exhaustivos de todos los datos de entrada, especialmente el argumento 'Description' en el archivo /create-ticket.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Monitorear los logs del servidor en busca de patrones sospechosos de XSS también es crucial.
Actualizar a una versión corregida del sistema CRM. Contacte al proveedor para obtener un parche o una versión actualizada que solucione la vulnerabilidad de Cross-Site Scripting (XSS) en el archivo create-ticket.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5325 is a cross-site scripting (XSS) vulnerability in Simple Customer Relationship Management System version 1.0, allowing attackers to inject malicious scripts via the Description field in /create-ticket.php.
You are affected if you are using Simple Customer Relationship Management System version 1.0 and have not applied a patch or implemented mitigating controls.
Upgrade to a patched version of Simple Customer Relationship Management System. If a patch is unavailable, implement input validation and output encoding, and consider a WAF.
While no confirmed exploitation campaigns are currently known, the vulnerability is publicly disclosed, increasing the likelihood of exploitation.
Refer to the SourceCodester website or relevant security forums for updates and advisories regarding CVE-2026-5325.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.