Plateforme
php
Composant
simple-laundry-system
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans Simple Laundry System, affectant les versions 1.0.0 à 1.0. Cette faille exploite un traitement incorrect du fichier /modmemberinfo.php, permettant à un attaquant d'injecter des scripts malveillants via la manipulation de l'argument 'userid'. L'exploitation peut être initiée à distance et un proof-of-concept public est disponible, ce qui augmente le risque d'exploitation.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript arbitraire dans les pages web consultées par les utilisateurs de Simple Laundry System. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, ou à la modification du contenu affiché, compromettant ainsi l'intégrité et la confidentialité des données. L'attaquant peut potentiellement usurper l'identité d'un utilisateur légitime et effectuer des actions en son nom, avec un impact significatif sur la sécurité du système et des données sensibles gérées par Simple Laundry System.
Cette vulnérabilité est publique et un proof-of-concept est disponible, ce qui augmente la probabilité d'exploitation. Le score EPSS est probablement de niveau moyen à élevé en raison de la facilité d'exploitation et de l'impact potentiel. La vulnérabilité a été publiée le 2026-04-05. Il n'y a pas d'informations disponibles concernant une exploitation active à ce jour.
Organizations and individuals using Simple Laundry System version 1.0.0–1.0 are at risk. Shared hosting environments are particularly vulnerable, as a compromised account on one site could potentially be used to exploit this vulnerability on other sites hosted on the same server.
• php / web:
curl -I 'http://your-simple-laundry-system/modmemberinfo.php?userid=<script>alert(1)</script>' | grep -i 'content-type'• generic web:
curl -I 'http://your-simple-laundry-system/modmemberinfo.php?userid=<script>alert(1)</script>' | grep -i 'content-type'• generic web: Check access logs for requests to /modmemberinfo.php with unusual or suspicious values in the 'userid' parameter. • generic web: Review response headers for signs of XSS payloads being executed.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Simple Laundry System vers une version corrigée, dès qu'elle sera disponible. En attendant, il est recommandé de désactiver temporairement le fichier /modmemberinfo.php ou de restreindre l'accès à ce fichier aux seuls utilisateurs autorisés. L'implémentation d'une politique de validation stricte des entrées utilisateur, en particulier pour l'argument 'userid', peut également aider à atténuer le risque. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les requêtes contenant des scripts potentiellement malveillants est également une mesure de protection efficace.
Mettez à jour le Simple Laundry System vers une version corrigée. Vérifiez le site web du fournisseur ou les dépôts de code pour obtenir la dernière version. En attendant la mise à jour, implémentez des mesures de sécurité supplémentaires, telles que la validation d'entrée et le filtrage de sortie, pour atténuer le risque de (XSS).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5541 est une vulnérabilité XSS affectant Simple Laundry System versions 1.0.0–1.0, permettant l'injection de scripts malveillants via la manipulation de l'argument 'userid' dans /modmemberinfo.php.
Si vous utilisez Simple Laundry System versions 1.0.0–1.0 et que le fichier /modmemberinfo.php est accessible, vous êtes potentiellement affecté par cette vulnérabilité.
La correction recommandée est de mettre à jour Simple Laundry System vers une version corrigée. En attendant, désactivez le fichier /modmemberinfo.php ou restreignez son accès.
Bien qu'un proof-of-concept public soit disponible, il n'y a pas d'informations confirmées concernant une exploitation active à ce jour, mais le risque est élevé.
Consultez le site web officiel de Simple Laundry System ou les canaux de communication habituels pour les avis de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.