Plateforme
php
Composant
cve-niuzzz
Corrigé dans
1.0.1
CVE-2026-4909 est une vulnérabilité de type Cross-Site Scripting (XSS) présente dans Exam Form Submission 1.0. Elle permet à un attaquant d'injecter du code malveillant via le paramètre 'sname' du fichier /admin/update_s7.php. L'exploitation réussie peut permettre l'exécution de scripts arbitraires dans le navigateur de la victime. La version affectée est la 1.0. Aucun correctif officiel n'est actuellement disponible.
Une vulnérabilité de Cross-Site Scripting (XSS) a été identifiée dans la version 1.0 de Exam Form Submission, spécifiquement dans le fichier /admin/update_s7.php. Cette faille provient de la manipulation de l'argument 'sname', permettant aux attaquants d'injecter du code malveillant dans l'application. L'impact potentiel inclut l'exécution de scripts malveillants dans les navigateurs des utilisateurs interagissant avec l'application, pouvant entraîner le vol d'informations sensibles (comme les identifiants de connexion), le renvoi vers des sites web malveillants ou la modification du contenu de la page web. Étant donné que l'exploitation est à distance et que l'exploit est publiquement disponible, le risque est élevé et nécessite une attention immédiate. L'absence d'une correction (fix) disponible aggrave la situation, rendant l'application vulnérable aux attaques actives.
La vulnérabilité XSS dans Exam Form Submission 1.0 est exploitée en manipulant l'argument 'sname' dans le fichier /admin/update_s7.php. Un attaquant peut injecter du code JavaScript malveillant via cet argument, qui est ensuite exécuté dans le navigateur de tout utilisateur accédant à la page affectée. Le fait que l'exploit soit public signifie que les attaquants disposent déjà des outils nécessaires pour exploiter cette vulnérabilité. La nature à distance de l'exploitation facilite l'attaque, car elle ne nécessite pas d'accès physique au serveur. L'absence d'une correction disponible augmente considérablement le risque d'attaques réussies.
Administrators and users of Exam Form Submission version 1.0 are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as an attacker could potentially compromise other applications on the same server through this vulnerability.
• php / web: Examine /admin/update_s7.php for inadequate input validation on the 'sname' parameter. Search access logs for requests containing suspicious JavaScript code in the 'sname' parameter.
grep -i 'script|alert' /var/log/apache2/access.log | grep /admin/update_s7.phpdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
Bien qu'aucune correction officielle n'ait été fournie par le développeur, des mesures d'atténuation immédiates sont recommandées. Celles-ci incluent la validation et la désinfection rigoureuses de toutes les entrées utilisateur, en particulier l'argument 'sname'. La mise en œuvre d'une politique de sécurité du contenu (CSP) peut aider à prévenir l'exécution de scripts malveillants. De plus, il est conseillé de surveiller activement l'application à la recherche d'activités suspectes et d'envisager de désactiver temporairement la fonctionnalité affectée jusqu'à ce qu'une solution soit disponible. La mise à niveau vers une version ultérieure de Exam Form Submission, une fois disponible, sera la solution définitive. Il est également recommandé de contacter le fournisseur de logiciels pour obtenir des informations sur une éventuelle mise à jour.
Actualizar el software Exam Form Submission a una versión corregida que mitigue la vulnerabilidad XSS. Aplicar validación y sanitización de entrada en el parámetro 'sname' en el archivo /admin/update_s7.php para evitar la inyección de código malicioso. Considere utilizar funciones de escape específicas para el contexto de salida (HTML, JavaScript, etc.).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est une vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des sites web légitimes.
Mettez en œuvre la validation et la désinfection des entrées, utilisez une politique de sécurité du contenu (CSP) et maintenez votre logiciel à jour.
Appliquez des mesures d'atténuation immédiates, surveillez votre site web à la recherche d'activités suspectes et mettez à niveau vers une version sécurisée du logiciel dès qu'elle est disponible.
Actuellement, aucune correction officielle n'a été fournie par le développeur. Des mesures d'atténuation sont recommandées.
Oui, cette vulnérabilité est grave en raison de sa capacité à être exploitée à distance, de la disponibilité publique de l'exploit et de l'absence de correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.