Plataforma
php
Componente
phpgurukul-company-visitor-management-system
Corregido en
2.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema PHPGurukul Company Visitor Management System, específicamente en las versiones 2.0.0 a 2.0. Esta vulnerabilidad reside en el archivo /bwdates-reports-details.php y permite la ejecución de scripts maliciosos a través de la manipulación del argumento 'fromdate'. La explotación es posible de forma remota y ya ha sido divulgada públicamente, lo que aumenta el riesgo de ataques.
Un atacante puede aprovechar esta vulnerabilidad de XSS para inyectar scripts maliciosos en la página web del sistema PHPGurukul Company Visitor Management System. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. El impacto se amplifica si el sistema se utiliza para gestionar información sensible de visitantes, ya que un atacante podría acceder a datos personales o comprometer la integridad del sistema de gestión de visitantes. La divulgación pública de la vulnerabilidad aumenta significativamente el riesgo de explotación.
La vulnerabilidad CVE-2026-6162 ha sido divulgada públicamente el 13 de abril de 2026. No se ha identificado un puntaje EPSS, pero la divulgación pública sugiere una probabilidad de explotación moderada a alta. Se espera que existan pruebas de concepto (PoCs) disponibles públicamente, lo que facilita la explotación por parte de atacantes. Se recomienda monitorear activamente los sistemas afectados para detectar signos de explotación.
Organizations using PHPGurukul Company Visitor Management System version 2.0.0–2.0, particularly those with publicly accessible instances and inadequate input validation practices, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised user account could be used to exploit the vulnerability and impact other users.
• php / web:
curl -I 'http://your-target-domain.com/bwdates-reports-details.php?fromdate=<script>alert("XSS")</script>' | grep HTTP/1.1• generic web:
grep -i "<script>alert("XSS")</script>" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a una versión corregida del PHPGurukul Company Visitor Management System. Dado que no se proporciona una versión fija, se recomienda implementar medidas de seguridad adicionales. Estas incluyen la validación estricta de todas las entradas de usuario, especialmente el argumento 'fromdate', para prevenir la inyección de scripts maliciosos. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de contenido que el navegador puede cargar. Además, se recomienda monitorear los registros del servidor en busca de patrones sospechosos.
Actualice el sistema Company Visitor Management System de PHPGurukul a la última versión disponible para mitigar la vulnerabilidad de XSS. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de entradas, para prevenir futuros ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-6162 is a cross-site scripting (XSS) vulnerability in PHPGurukul Company Visitor Management System versions 2.0.0–2.0, allowing attackers to inject malicious scripts via the 'fromdate' parameter.
If you are using PHPGurukul Company Visitor Management System version 2.0.0–2.0 and have not applied a patch, you are potentially affected by this vulnerability.
The recommended fix is to upgrade to a patched version of PHPGurukul Company Visitor Management System. Until then, implement input validation and output encoding.
As of the publication date, there is no confirmed evidence of active exploitation, but a proof-of-concept may be available.
Refer to the PHPGurukul website or security advisories for the official advisory regarding CVE-2026-6162.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.