Plateforme
php
Composant
student-management-system
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans le Cyber-III Student-Management-System, affectant les versions jusqu'à 1a938fa61e9f735078e9b291d2e6215b4942af3f. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les pages web consultées par d'autres utilisateurs. Le système utilise des mises à jour continues, rendant l'identification précise des versions affectées et corrigées difficile. Une preuve de concept (PoC) est publiquement disponible.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de la victime. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, à la modification du contenu de la page web, ou à l'exécution d'actions au nom de l'utilisateur authentifié. Le risque est aggravé par le fait que l'exploitation peut être initiée à distance, sans nécessiter d'interaction préalable de la victime. Le vecteur d'attaque cible la manipulation de l'argument $SERVER['PHPSELF'] dans le fichier /admin/Add%20notice/batch-notice.php, ce qui indique une faiblesse dans la validation des entrées.
La vulnérabilité est publique et une preuve de concept (PoC) est disponible, ce qui augmente le risque d'exploitation. Bien qu'il n'y ait pas d'informations sur une campagne d'exploitation active, la facilité d'exploitation et la disponibilité du PoC suggèrent que des attaquants pourraient l'utiliser. Le CVE a été publié le 2026-04-06. La sévérité est évaluée à Faible (CVSS 2.4).
Educational institutions and organizations utilizing Cyber-III Student-Management-System are at risk, particularly those relying on the system for sensitive student data management. Organizations with legacy configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments where multiple users share the same server resources may also face increased risk due to the potential for cross-tenant exploitation.
• php: Examine the /admin/Add%20notice/batch-notice.php file for insecure handling of the $SERVER['PHPSELF'] variable. Look for missing or inadequate input validation.
grep -r $_SERVER['PHP_SELF'] /var/www/html/admin/Add%20notice/• generic web: Monitor access logs for unusual requests targeting /admin/Add%20notice/batch-notice.php with suspicious parameters.
grep "/admin/Add%20notice/batch-notice.php?" /var/log/apache2/access.log• generic web: Check response headers for signs of injected JavaScript code.
curl -I https://example.com/admin/Add%20notice/batch-notice.php?param=<script>alert(1)</script>disclosure
poc
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
En l'absence de version corrigée spécifique, la mitigation immédiate consiste à renforcer la validation des entrées et le filtrage des sorties dans le fichier /admin/Add%20notice/batch-notice.php. Il est crucial d'implémenter une désinfection rigoureuse des données utilisateur avant de les afficher dans la page web. L'utilisation d'une Content Security Policy (CSP) peut également aider à limiter l'impact d'une attaque XSS en contrôlant les sources de contenu autorisées. Un pare-feu applicatif web (WAF) configuré pour bloquer les scripts malveillants peut également offrir une protection supplémentaire. Vérifiez après l'implémentation des mesures correctives que les entrées utilisateur sont correctement validées et échappées.
Mettez à jour le Student-Management-System vers une version corrigée. En raison de la nature des mises à jour continues, consultez la documentation du fournisseur ou contactez le support pour obtenir des informations sur les versions corrigées et les étapes de mise à jour. Le projet n'a pas répondu aux rapports de problèmes, il est donc crucial de surveiller les mises à jour du fournisseur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5644 is a cross-site scripting (XSS) vulnerability affecting Cyber-III Student-Management-System versions up to 1a938fa61e9f735078e9b291d2e6215b4942af3f, allowing attackers to inject malicious scripts.
If you are using Cyber-III Student-Management-System version 1a938fa61e9f735078e9b291d2e6215b4942af3f or earlier, you are potentially affected by this XSS vulnerability.
Due to the rolling release model, a specific patch is not yet available. Mitigate by implementing strict input validation and output encoding, and consider using a WAF.
A public exploit exists, suggesting active scanning and potential attacks are already underway.
Consult the Cyber-III project website and security mailing lists for the latest advisory regarding CVE-2026-5644.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.