Scanner gratuitement
LOWCVE-2026-5668CVSS 2.4

Cyber-III Student-Management-System add%20notice.php cross site scripting

Plateforme

php

Composant

student-management-system

Corrigé dans

1.0.1

AI Confidence: mediumNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans le Cyber-III Student-Management-System, affectant les versions antérieures ou égales à 1a938fa61e9f735078e9b291d2e6215b4942af3f. Cette faille exploite une manipulation de l'argument $SERVER['PHPSELF'] dans le fichier /admin/Add%20notice/add%20notice.php, permettant l'exécution de scripts malveillants dans le contexte du navigateur d'un utilisateur. En raison d'une approche de livraison continue, aucune version spécifique affectée ou corrigée n'est disponible.

Impact et Scénarios d'Attaque

Un attaquant peut exploiter cette vulnérabilité XSS pour injecter du code JavaScript malveillant dans le Cyber-III Student-Management-System. Ce code peut être exécuté dans le navigateur de n'importe quel utilisateur accédant à la page vulnérable, permettant à l'attaquant de voler des cookies de session, de rediriger les utilisateurs vers des sites malveillants, ou de modifier le contenu de la page web. L'exploitation à distance rend cette vulnérabilité particulièrement dangereuse, car elle ne nécessite pas d'accès direct au serveur. La publication d'un Proof of Concept (PoC) augmente considérablement le risque d'exploitation par des acteurs malveillants.

Contexte d'Exploitation

Un Proof of Concept (PoC) a été publié, ce qui indique une probabilité d'exploitation élevée. La vulnérabilité est susceptible d'être ciblée par des acteurs malveillants cherchant à compromettre des systèmes via des attaques XSS. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute information supplémentaire concernant cette vulnérabilité.

Qui Est à Risquetraduction en cours…

Organizations utilizing Cyber-III Student-Management-System, particularly those with publicly accessible administrative interfaces, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.

Étapes de Détectiontraduction en cours…

• generic web: Use curl to test the /admin/Add%20notice/add%20notice.php endpoint with various payloads containing <script> tags. Examine the response for signs of script execution.

curl -X POST -d '<script>alert("XSS")</script>' http://your-target/admin/Add%20notice/add%20notice.php

• generic web: Review access and error logs for unusual patterns or requests containing suspicious characters or script tags. • php: Examine the source code of /admin/Add%20notice/add%20notice.php for inadequate input sanitization of the $SERVER['PHPSELF'] variable.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

  2. PoC

    poc

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.03% (percentile 9%)

CISA SSVC

Exploitationpoc
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R2.4LOWAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityNoneRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Aucun — aucun impact sur la confidentialité.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantstudent-management-system
FournisseurCyber-III
Plage affectéeCorrigé dans
1a938fa61e9f735078e9b291d2e6215b4942af3f – 1a938fa61e9f735078e9b291d2e6215b4942af3f1.0.1

Classification de Faiblesse (CWE)

CWE-79CWE-94

Chronologie

  1. Réservé
  2. Publiée
  3. EPSS mis à jour
Sans correctif — 48 jours depuis la divulgation

Mitigation et Contournements

Bien qu'aucune version corrigée ne soit disponible en raison de la livraison continue, des mesures d'atténuation peuvent être mises en œuvre pour réduire le risque d'exploitation. La première étape consiste à mettre en place une validation et un encodage rigoureux de toutes les entrées utilisateur, en particulier celles utilisées dans la construction des URL ou de l'affichage du contenu. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes contenant des scripts potentiellement dangereux. Enfin, une surveillance attentive des journaux d'accès et d'erreurs peut permettre de détecter les tentatives d'exploitation et de prendre des mesures correctives.

Comment corriger

Mettre à jour le Student-Management-System vers une version corrigée. Étant donné que le projet utilise un modèle de publication continue et ne fournit pas de détails de version spécifiques, contacter le fournisseur pour obtenir des informations sur les versions mises à jour et appliquer les mises à jour nécessaires.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2026-5668 — XSS in Cyber-III Student-Management-System?

CVE-2026-5668 is a cross-site scripting (XSS) vulnerability in Cyber-III Student-Management-System versions up to 1a938fa61e9f735078e9b291d2e6215b4942af3f, allowing attackers to inject malicious scripts.

Am I affected by CVE-2026-5668 in Cyber-III Student-Management-System?

If you are using Cyber-III Student-Management-System version 1a938fa61e9f735078e9b291d2e6215b4942af3f or earlier, you are potentially affected by this vulnerability.

How do I fix CVE-2026-5668 in Cyber-III Student-Management-System?

Due to the rolling release model, a direct upgrade may not be immediately available. Implement WAF rules, input validation, and consider CSP as mitigations.

Is CVE-2026-5668 being actively exploited?

A public proof-of-concept exists, suggesting a higher likelihood of active exploitation. Monitor for suspicious activity and apply mitigations promptly.

Where can I find the official Cyber-III Student-Management-System advisory for CVE-2026-5668?

Refer to the project's official communication channels and issue tracker for updates regarding this vulnerability.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE