Plataforma
php
Componente
sales-and-inventory-system
Corregido en
1.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Sales and Inventory System de SourceCodester, afectando a las versiones 1.0.0 a 1.0. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en la aplicación a través de la manipulación del parámetro 'ID' en el archivo /delete.php. La explotación exitosa puede llevar a la ejecución de código arbitrario en el navegador de la víctima.
La vulnerabilidad XSS en Sales and Inventory System permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario autenticado. Esto puede ser utilizado para robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página web para engañar al usuario. Un atacante podría, por ejemplo, inyectar código para robar credenciales de inicio de sesión o realizar acciones en nombre del usuario sin su conocimiento. La publicación de un Proof of Concept (PoC) aumenta significativamente el riesgo de explotación.
La vulnerabilidad CVE-2026-5810 ha sido publicada con un Proof of Concept (PoC) disponible, lo que indica una alta probabilidad de explotación. La severidad CVSS es LOW (3.5), pero la disponibilidad de un PoC aumenta el riesgo. No se ha confirmado explotación activa a la fecha de publicación, pero la existencia del PoC hace que sea un objetivo atractivo para atacantes.
Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.
• php / web:
curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
grep -i 'alert("XSS")' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión corregida del Sales and Inventory System. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y el saneamiento de todas las entradas de usuario, especialmente los parámetros GET. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que contengan código XSS. La implementación de políticas de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo.
Actualice el sistema Sales and Inventory System a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Implemente medidas de seguridad adicionales, como la validación de entradas y la codificación de salidas, para mitigar el riesgo de ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-5810 is a cross-site scripting (XSS) vulnerability in SourceCodester Sales and Inventory System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the /delete.php file.
If you are using SourceCodester Sales and Inventory System version 1.0.0 or 1.0, you are potentially affected by this XSS vulnerability.
Upgrade to a patched version of SourceCodester Sales and Inventory System as soon as it becomes available. Implement input validation and output encoding as a temporary workaround.
An exploit has been published, indicating a high probability of active exploitation. Immediate action is recommended.
Refer to the SourceCodester website or their official communication channels for the latest advisory regarding CVE-2026-5810.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.