Plateforme
php
Composant
online-hotel-booking
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été identifiée dans le système Online Hotel Booking, versions 1.0.0 à 1.0. Cette faille se trouve dans le fichier /booknow.php et permet à un attaquant d'injecter du code JavaScript en manipulant l'argument roomname. L'exploitation est possible à distance et un exploit a été rendu public.
Une vulnérabilité de Cross-Site Scripting (XSS) a été identifiée dans 'code-projects Online Hotel Booking' version 1.0. La vulnérabilité se situe dans le fichier /booknow.php, plus précisément dans la gestion de l'argument roomname au sein du composant 'Booking Endpoint'. Un attaquant peut injecter du code JavaScript malveillant en manipulant cet argument. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant de voler des cookies de session, de rediriger les utilisateurs vers des sites web malveillants ou de modifier le contenu de la page web visible par les utilisateurs, compromettant l'intégrité et la confidentialité des données de l'application et de l'utilisateur. La sévérité de la vulnérabilité est notée CVSS 4.3, indiquant un risque modéré. La disponibilité publique d'un exploit aggrave le risque, car elle facilite son exploitation par des acteurs malveillants.
La vulnérabilité est exploitée par la manipulation du paramètre roomname dans le fichier /booknow.php. Un attaquant peut injecter du code JavaScript malveillant dans ce paramètre, qui est ensuite exécuté dans le navigateur de l'utilisateur lorsque la page est consultée. Étant donné que l'exploitation est à distance, elle ne nécessite pas d'accès physique au serveur. La disponibilité publique de l'exploit signifie que les attaquants peuvent utiliser des outils et des techniques existants pour exploiter rapidement la vulnérabilité. L'impact de l'exploitation peut varier en fonction des privilèges de l'utilisateur concerné et de la sensibilité des données auxquelles il a accès. Un audit de sécurité complet est recommandé pour identifier et corriger toute autre vulnérabilité potentielle dans l'application.
Hotels and businesses utilizing Online Hotel Booking version 1.0, particularly those with publicly accessible booking endpoints, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also vulnerable, as an attacker could potentially compromise other sites on the same server.
• php / web:
curl -I 'http://your-hotel-booking-site.com/booknow.php?roomname=<script>alert("XSS")</script>' | grep -i 'content-type'• generic web:
grep -r "roomname" /var/log/apache2/access.log | grep "<script"disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune solution officielle (fix) n'est fournie par le développeur pour CVE-2026-5705. Cependant, des mesures d'atténuation immédiates sont recommandées pour réduire le risque d'exploitation. Celles-ci incluent la validation et la désinfection rigoureuses de toutes les entrées utilisateur, en particulier l'argument roomname dans /booknow.php. La mise en œuvre d'une Politique de Sécurité du Contenu (CSP) peut aider à atténuer les attaques XSS en contrôlant les ressources que le navigateur peut charger. Surveiller le trafic réseau à la recherche de schémas suspects et maintenir le système d'exploitation et les bibliothèques logicielles sous-jacentes à jour sont également des pratiques recommandées. Il est fortement recommandé de contacter le développeur 'code-projects' pour demander une mise à jour de sécurité.
Mettez à jour le plugin Online Hotel Booking à la dernière version disponible pour atténuer la vulnérabilité de Cross-Site Scripting (XSS) sur l'endpoint /booknow.php. Vérifiez la source officielle du plugin pour obtenir des instructions de mise à jour spécifiques. Implémentez une validation et un échappement appropriés des entrées utilisateur pour prévenir de futures attaques XSS.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Mettez en œuvre la validation et la désinfection des entrées, utilisez une Politique de Sécurité du Contenu (CSP) et maintenez votre logiciel à jour.
Isolez le système affecté, enquêtez sur l'incident et appliquez les mesures d'atténuation nécessaires.
Il existe plusieurs outils de numérisation des vulnérabilités qui peuvent aider à identifier les vulnérabilités XSS sur votre site web.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans des bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.