Plateforme
php
Composant
codeigniter
Corrigé dans
3.4.4
CVE-2026-39380 décrit une vulnérabilité de Cross-Site Scripting (XSS) stockée présente dans l'application Open Source Point of Sale, un système de point de vente web écrit en PHP et utilisant le framework CodeIgniter. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant qui est ensuite stocké dans la base de données. L'exécution de ce code se produit lors de l'affichage des données dans l'interface Employees, compromettant potentiellement la sécurité des utilisateurs. La vulnérabilité est corrigée dans la version 3.4.3.
L'impact principal de cette vulnérabilité XSS stockée réside dans la possibilité pour un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur d'un utilisateur authentifié accédant à l'interface Employees. Cela peut permettre le vol de cookies de session, l'usurpation d'identité, la redirection vers des sites malveillants, ou la modification du contenu affiché à l'utilisateur. Un attaquant pourrait, par exemple, modifier les informations affichées concernant les emplacements de stock, induisant en erreur les employés ou les gestionnaires. La persistance du code malveillant dans la base de données signifie que la vulnérabilité peut affecter de multiples utilisateurs et persister même après la suppression de l'entrée initiale, augmentant significativement la surface d'attaque. Le risque est exacerbé si l'application est utilisée dans un environnement sensible, comme un magasin de détail traitant des informations financières.
La vulnérabilité CVE-2026-39380 a été publiée le 7 avril 2026. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'accéder à la fonctionnalité de configuration des emplacements de stock. Il n'existe pas de Proof of Concept (POC) public connu à ce jour, mais la nature de la vulnérabilité XSS stockée la rend potentiellement exploitable par des acteurs malveillants disposant de compétences techniques. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter l'émergence de POC ou d'exploits. La vulnérabilité est référencée par le NVD (National Vulnerability Database) et CISA (Cybersecurity and Infrastructure Security Agency).
Organizations using Open Source Point of Sale for their point-of-sale operations, particularly those running versions 1.0.0 through 3.4.2, are at risk. Shared hosting environments where multiple customers share the same server and database are especially vulnerable, as an attacker could potentially exploit the vulnerability through another customer's account.
• php: Examine the database for suspicious JavaScript code stored in the stock_location field. Use a database query to search for <script or javascript: patterns.
SELECT * FROM your_table_name WHERE stock_location LIKE '%<script%'• generic web: Monitor access logs for requests containing unusual or obfuscated JavaScript code in the stock_location parameter. Look for POST requests to the stock location configuration endpoint.
grep 'stock_location=[^&]*<script[^>]*>' /var/log/apache2/access.log• generic web: Check response headers for signs of XSS, such as the presence of unexpected JavaScript code in the HTML content.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à appliquer la mise à jour vers la version 3.4.3 d'Open Source Point of Sale. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les injections XSS peut aider à atténuer le risque. Des règles WAF spécifiques ciblant les injections de script dans le paramètre stocklocation sont recommandées. Il est également crucial de renforcer la validation et l'échappement de toutes les entrées utilisateur, en particulier celles stockées dans la base de données. Surveiller les journaux d'accès et d'erreurs pour détecter des tentatives d'injection de script peut également aider à identifier et à bloquer les attaques. Après la mise à jour, il est impératif de vérifier que la vulnérabilité a bien été corrigée en tentant une injection XSS contrôlée dans le paramètre stocklocation et en s'assurant qu'elle est correctement neutralisée.
Actualice a la versión 3.4.3 o superior para mitigar la vulnerabilidad de XSS. La actualización corrige la falta de sanitización de la entrada del usuario en el parámetro 'stock_location', previniendo la inyección de código JavaScript malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité XSS stockée dans Open Source Point of Sale, permettant l'injection de JavaScript malveillant.
Si vous utilisez Open Source Point of Sale en version 1.0.0 à 3.4.3, vous êtes potentiellement affecté.
Mettez à jour Open Source Point of Sale vers la version 3.4.3.
Aucun exploit public n'est connu à ce jour, mais la vulnérabilité est potentiellement exploitable.
Consultez le NVD (National Vulnerability Database) et le site web d'Open Source Point of Sale pour plus d'informations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.