Plateforme
php
Composant
simple-customer-relationship-management-system
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été identifiée dans le système Simple Customer Relationship Management System de SourceCodester, versions 1.0. Cette faille exploite une manipulation de l'argument Description dans le fichier /create-ticket.php, permettant l'exécution de scripts malveillants côté client. L'exploitation à distance est possible et la vulnérabilité a été publiquement divulguée.
Cette vulnérabilité XSS permet à un attaquant d'injecter des scripts malveillants dans les pages web consultées par les utilisateurs du Simple Customer Relationship Management System. Un attaquant pourrait ainsi voler des informations sensibles, telles que des identifiants de connexion ou des données personnelles, ou encore modifier le contenu des pages web affichées. L'impact peut être significatif, allant de l'usurpation d'identité à la compromission complète du système, en fonction des privilèges de l'utilisateur attaqué et de la sensibilité des données accessibles. Cette vulnérabilité est similaire à d'autres failles XSS où l'injection de code JavaScript permet de contourner les mécanismes de sécurité et d'accéder à des ressources protégées.
La vulnérabilité CVE-2026-5325 a été publiquement divulguée le 2026-04-02. Un Proof of Concept (PoC) est disponible publiquement, ce qui augmente la probabilité d'exploitation. Le score CVSS est de 3.5 (LOW), indiquant une faible probabilité d'exploitation à grande échelle, mais la disponibilité d'un PoC rend la vulnérabilité attractive pour les attaquants ciblés. Il n'y a pas d'indication d'une inclusion dans le KEV de CISA à ce jour.
Organizations using Simple Customer Relationship Management System version 1.0, particularly those with publicly accessible instances or those handling sensitive customer data, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised account could be used to exploit the vulnerability and impact other users.
• php / web:
curl -I 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep -i 'X-Powered-By'• generic web:
curl -s 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep 'alert("XSS")'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à appliquer un correctif de sécurité fourni par SourceCodester, dès qu'il sera disponible. En attendant, il est recommandé de désactiver temporairement la fonctionnalité de création de tickets ou de mettre en place des mesures de validation et d'échappement strictes des données saisies dans le champ Description. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes. Il est crucial de surveiller les logs du serveur pour détecter toute activité suspecte et de sensibiliser les utilisateurs aux risques liés aux attaques XSS.
Mettre à jour vers une version corrigée du système CRM. Contactez le fournisseur pour obtenir un correctif ou une version mise à jour qui résout la vulnérabilité de Cross-Site Scripting (XSS) dans le fichier create-ticket.php.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5325 is a cross-site scripting (XSS) vulnerability in Simple Customer Relationship Management System version 1.0, allowing attackers to inject malicious scripts via the Description field in /create-ticket.php.
You are affected if you are using Simple Customer Relationship Management System version 1.0 and have not applied a patch or implemented mitigating controls.
Upgrade to a patched version of Simple Customer Relationship Management System. If a patch is unavailable, implement input validation and output encoding, and consider a WAF.
While no confirmed exploitation campaigns are currently known, the vulnerability is publicly disclosed, increasing the likelihood of exploitation.
Refer to the SourceCodester website or relevant security forums for updates and advisories regarding CVE-2026-5325.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.