Plateforme
php
Composant
hajimi
Corrigé dans
1.0.1
La vulnérabilité CVE-2026-5106 concerne une faille XSS dans Exam Form Submission version 1.0. L'exploitation de cette vulnérabilité, via la manipulation de l'argument sname, permet d'injecter du code malveillant. La vulnérabilité est exploitable à distance. Actuellement, aucun correctif officiel n'est disponible.
La vulnérabilité CVE-2026-5106 affecte l'application 'Exam Form Submission' version 1.0, plus précisément une fonction inconnue dans le fichier /admin/update_fst.php. La faille réside dans la manipulation de l'argument 'sname', ce qui entraîne une vulnérabilité de Cross-Site Scripting (XSS). Cela signifie qu'un attaquant peut injecter du code malveillant dans l'application, qui s'exécutera ensuite dans le navigateur d'autres utilisateurs, lui permettant de voler des informations sensibles, d'usurper l'identité d'utilisateurs ou de les rediriger vers des sites web malveillants. Le risque est élevé car l'exploitation est à distance et un exploit a été publié, facilitant son utilisation par les attaquants. L'absence de correctif disponible aggrave la situation, nécessitant une attention immédiate.
La vulnérabilité CVE-2026-5106 est exploitée par la manipulation du paramètre 'sname' dans /admin/update_fst.php. Un attaquant peut envoyer une requête HTTP malveillante à ce fichier, en injectant du code JavaScript dans la valeur de 'sname'. En raison de l'absence de validation ou d'échappement appropriés de ce paramètre, le code injecté est stocké et exécuté lorsque tout autre utilisateur visite la page affichant les données relatives à 'sname'. La publication d'un exploit public signifie que les attaquants disposent d'un guide étape par étape pour mener à bien l'attaque, ce qui augmente considérablement le risque d'exploitation. La nature à distance de la vulnérabilité signifie qu'elle peut être exploitée depuis n'importe quel endroit disposant d'un accès à l'application.
Administrators and users with access to the /admin/update_fst.php endpoint are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• php / web:
grep -r 'sname' /var/www/exam_form_submission/admin/update_fst.php• generic web:
curl -I http://your-exam-form-submission-url.com/admin/update_fst.php?sname=<script>alert(1)</script>• generic web: Examine access logs for requests to /admin/update_fst.php containing suspicious characters in the 'sname' parameter (e.g., <script>, <img src=x onerror=alert(1)>).
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucun correctif officiel (fix: none) n'a été fourni, la mitigation immédiate se concentre sur des mesures préventives. Il est fortement recommandé de désactiver temporairement la fonctionnalité affectée dans /admin/update_fst.php jusqu'à ce qu’une solution soit mise en œuvre. De plus, il est essentiel de mettre en œuvre une filtration d'entrée robuste pour l'argument 'sname', en validant et en échappant tout caractère potentiellement dangereux. Surveiller activement les journaux du serveur à la recherche d'activités suspectes liées à la manipulation de 'sname' est essentiel. Envisagez d'utiliser un pare-feu d'application web (WAF) pour détecter et bloquer les attaques XSS. Enfin, assurez-vous que les logiciels du serveur et toutes les dépendances sont maintenus à jour afin d'atténuer d'autres vulnérabilités qui pourraient être exploitées conjointement.
Mettez à jour vers une version corrigée ou appliquez les mesures de sécurité nécessaires pour éviter l'exécution de code XSS. Validez et nettoyez les entrées de l'utilisateur, en particulier le paramètre 'sname' dans le fichier '/admin/update_fst.php'.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Cela indique qu'il n'existe actuellement aucune solution ou correctif officiel fourni par le développeur pour cette vulnérabilité.
Si vous utilisez 'Exam Form Submission' version 1.0, vous êtes probablement affecté. Surveillez les journaux du serveur à la recherche d'activités suspectes et effectuez des tests d'intrusion.
Un WAF (Web Application Firewall) est un outil de sécurité qui protège les applications web contre les attaques courantes, telles que XSS et l'injection SQL.
Isolez le système affecté, modifiez tous les mots de passe des utilisateurs et effectuez un audit de sécurité complet.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.