Plateforme
php
Composant
student-management-system
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été identifiée dans Cyber-III Student-Management-System, affectant les versions jusqu'à 1a938fa61e9f735078e9b291d2e6215b4942af3f. Cette faille permet à un attaquant d'injecter des scripts malveillants dans le système, potentiellement compromettant la confidentialité des données des utilisateurs. Le projet utilise une approche de publication continue, rendant difficile l'identification précise des versions affectées et corrigées.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web consultées par les utilisateurs du Student-Management-System. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites web malveillants, ou modifier le contenu des pages web affichées. L'attaquant peut ainsi compromettre les comptes d'utilisateurs, accéder à des informations sensibles, ou même prendre le contrôle du système. La nature publique du code exploitable augmente le risque d'attaques à grande échelle.
Cette vulnérabilité est publique et un code d'exploitation est disponible, ce qui augmente considérablement le risque d'exploitation. Bien qu'il n'y ait pas d'informations sur une campagne d'exploitation active, la facilité d'exploitation rend cette vulnérabilité attrayante pour les attaquants. La publication de la vulnérabilité a eu lieu le 2026-04-06.
Administrators and users with access to the /admin/Add%20notice/notice.php endpoint are at the highest risk. Shared hosting environments running Cyber-III Student-Management-System are particularly vulnerable, as they may lack the ability to quickly apply security updates or implement custom mitigations.
• php: Examine access logs for requests to /admin/Add%20notice/notice.php with unusual or suspicious values in the $SERVER['PHPSELF'] parameter. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:, onerror=).
grep "/admin/Add%20notice/notice.php.*$_SERVER['PHP_SELF']=[^a-zA-Z0-9]" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
En raison de l'approche de publication continue du Student-Management-System, une mise à jour directe n'est pas immédiatement disponible. En attendant une correction officielle, il est crucial de mettre en œuvre des mesures de mitigation. La première étape consiste à renforcer la validation des entrées, en s'assurant que toutes les données fournies par l'utilisateur sont correctement filtrées et nettoyées avant d'être utilisées. L'échappement des sorties est également essentiel pour empêcher l'exécution de scripts malveillants. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les attaques XSS connues. Il est recommandé de surveiller attentivement les journaux du serveur pour détecter toute activité suspecte.
Mettez à jour le Student-Management-System vers une version corrigée. Étant donné que le projet utilise un modèle de publication continue, consultez la documentation du projet ou contactez le fournisseur pour obtenir des informations sur les versions affectées et les mises à jour disponibles. Implémentez une validation et un nettoyage appropriés des entrées utilisateur pour prévenir les attaques XSS.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5643 is a cross-site scripting (XSS) vulnerability affecting Cyber-III Student-Management-System versions up to 1a938fa61e9f735078e9b291d2e6215b4942af3f. It allows attackers to inject malicious scripts.
If you are using Cyber-III Student-Management-System version 1a938fa61e9f735078e9b291d2e6215b4942af3f or earlier, you are potentially affected by this vulnerability.
Due to the rolling release model, a specific patched version is not immediately available. Apply the latest updates as they are released and implement input validation and output encoding as a temporary mitigation.
While no active campaigns have been publicly reported, the availability of a public proof-of-concept increases the risk of exploitation.
Refer to the project's official channels for updates and advisories regarding CVE-2026-5643.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.