Plataforma
php
Componente
xiaopi-panel
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Xiaopi Panel, específicamente en la versión 1.0.0. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'param' en el archivo /demo.php del componente WAF Firewall. La explotación remota es posible y existe un Proof of Concept (PoC) disponible públicamente, lo que aumenta el riesgo de ataques.
La vulnerabilidad XSS en Xiaopi Panel permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página vulnerable. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario. Dada la disponibilidad de un PoC público, la probabilidad de explotación es alta, especialmente si el panel está expuesto a Internet sin las debidas protecciones. La falta de respuesta por parte del proveedor agrava la situación, ya que no hay una solución oficial disponible.
La vulnerabilidad CVE-2026-5332 se ha hecho pública el 2 de abril de 2026, y existe un PoC disponible, lo que indica una alta probabilidad de explotación. La falta de respuesta del proveedor aumenta la preocupación. No se ha añadido a KEV ni se dispone de información sobre campañas activas, pero la disponibilidad del PoC sugiere que podría ser explotada rápidamente.
Organizations and individuals using Xiaopi Panel version 1.0.0 are at immediate risk. Shared hosting environments are particularly vulnerable, as multiple users may share the same instance of Xiaopi Panel, increasing the potential for widespread compromise. Administrators who haven't implemented robust input validation practices are also at higher risk.
• php / web:
grep -r 'param=.*;' /var/www/xiaopi_panel/demo.php• generic web:
curl -I http://your-xiaopi-panel/demo.php?param=<script>alert(1)</script>• generic web: Check access logs for requests to /demo.php with unusual or suspicious values in the 'param' parameter. • generic web: Monitor for unusual JavaScript execution within the Xiaopi Panel interface.
disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
Dado que no se ha proporcionado una versión corregida, la mitigación inmediata se centra en reducir la superficie de ataque. Se recomienda deshabilitar temporalmente el archivo /demo.php si no es esencial para la funcionalidad del panel. Implementar reglas de Web Application Firewall (WAF) para filtrar solicitudes que contengan caracteres sospechosos en el argumento 'param' puede ayudar a prevenir la inyección de scripts. Además, se debe revisar y endurecer la configuración del componente WAF Firewall para asegurar que esté correctamente configurado y actualizado. Verifique después de aplicar las mitigaciones que la página /demo.php no sea accesible públicamente.
Actualizar Xiaopi Panel a una versión posterior a 1.0.0, si existe, o deshabilitar/eliminar el componente WAF Firewall. Si no hay actualizaciones disponibles, considerar la mitigación del riesgo mediante la validación y limpieza de las entradas del usuario en el archivo /demo.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5332 is a cross-site scripting (XSS) vulnerability affecting Xiaopi Panel versions 1.0.0-1.0.0, allowing attackers to inject malicious scripts via the /demo.php endpoint.
If you are running Xiaopi Panel version 1.0.0, you are potentially affected by this vulnerability. Immediate mitigation steps are recommended.
A vendor patch is currently unavailable. Implement input validation, output encoding, and WAF rules as temporary mitigations.
Due to the public availability of a proof-of-concept, active exploitation is possible and likely.
As of the disclosure date, the vendor has not released an official advisory. Monitor their website and security forums for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.