Plateforme
php
Composant
codeigniter
Corrigé dans
3.4.4
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans l'application Open Source Point of Sale, écrite en PHP et utilisant le framework CodeIgniter. Cette faille, présente dans les versions antérieures à 3.4.3, permet à un attaquant d'injecter du code JavaScript arbitraire via le champ customer_name dans la table de gestion des ventes quotidiennes. L'exécution de ce code malveillant affecte les utilisateurs accédant à la page des ventes quotidiennes, compromettant potentiellement la sécurité des données et des sessions.
La vulnérabilité CVE-2026-32712 dans Open Source Point of Sale (opensourcepos) représente un risque de Cross-Site Scripting (XSS) stocké. Plus précisément, une configuration incorrecte de la colonne 'customername' dans le tableau de gestion des ventes quotidiennes, avec 'escape: false', permet aux noms de clients d'être rendus en tant que HTML brut. Cela signifie qu'un attaquant disposant des permissions de gestion des clients peut injecter du code JavaScript malveillant dans les champs 'firstname' ou 'last_name' d'un client. Une fois injecté, ce code s'exécutera dans le navigateur de tout utilisateur accédant aux informations du client, ce qui pourrait entraîner le vol de cookies, le renvoi vers des sites malveillants ou la modification de l'apparence de l'application. La sévérité CVSS est de 5.4, ce qui indique un risque moyen-élevé. L'application est utilisée dans des environnements de point de vente, impliquant la gestion de données sensibles des clients et de transactions financières, augmentant l'impact potentiel de l'exploitation.
Un attaquant disposant de privilèges de gestion des clients peut exploiter cette vulnérabilité. L'attaque consiste à créer ou à modifier un enregistrement client, en injectant du code JavaScript malveillant dans les champs 'firstname' ou 'lastname'. Lorsque tout autre utilisateur (par exemple, un employé ou un client accédant à son historique d'achat) consulte les informations du client modifiées, le code JavaScript injecté s'exécute dans son navigateur. Le succès de l'exploitation dépend de la capacité de l'attaquant à obtenir des permissions de gestion des clients et du manque d'échappement HTML approprié dans la colonne 'customer_name'. La nature stockée de la vulnérabilité signifie que le code malveillant persiste dans la base de données, affectant tous les utilisateurs accédant aux informations du client compromis.
Organizations using the Open Source Point of Sale application with versions 1.0.0 through 3.4.2, particularly those with customer-facing interfaces and limited input validation, are at risk. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromised application could potentially impact other tenants.
• php / web:
grep -r "escape: false" /path/to/opensrcpos/application/config/bootstrap.php• generic web:
curl -I http://your-pos-instance/daily_sales | grep -i content-security-policy• generic web:
Check access logs for unusual POST requests to the Daily Sales page with potentially malicious input in the customer_name parameter.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à niveau vers la version 3.4.3 ou supérieure d'Open Source Point of Sale. Cette version corrige la configuration incorrecte de la colonne 'customer_name' en mettant en œuvre l'échappement HTML approprié, empêchant ainsi l'injection de code malveillant. De plus, il est recommandé de revoir et de renforcer les politiques de contrôle d'accès afin de limiter les permissions de gestion des clients aux seuls utilisateurs autorisés. La mise en œuvre d'une validation et d'une désinfection robustes de toutes les entrées utilisateur est une bonne pratique de sécurité générale qui permet de prévenir de futures vulnérabilités XSS. La surveillance régulière des journaux de l'application à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles. Des tests d'intrusion périodiques sont essentiels pour identifier et corriger toute autre vulnérabilité de sécurité.
Actualice a la versión 3.4.3 o superior para mitigar la vulnerabilidad de XSS. La actualización corrige la configuración incorrecta del escape en la columna customer_name, evitando la inyección de código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS stocké (ou persistant) se produit lorsque le code malveillant est stocké dans une base de données ou une autre ressource côté serveur et s'exécute chaque fois qu'un utilisateur accède à la page qui le contient.
L'attaquant doit disposer de permissions de gestion des clients dans l'application Open Source Point of Sale.
Si vous utilisez une version antérieure à 3.4.3 d'Open Source Point of Sale, vous êtes probablement affecté. Effectuez une mise à niveau vers la dernière version.
Limitez l'accès à la gestion des clients, examinez les journaux de l'application à la recherche d'activités suspectes et envisagez de mettre en œuvre un pare-feu d'applications web (WAF).
Vous pouvez trouver plus d'informations sur CVE-2026-32712 dans des bases de données de vulnérabilités telles que la base de données des vulnérabilités nationales (NVD) du NIST.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.