Plateforme
php
Composant
sales-and-inventory-system
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans le système Sales and Inventory System de SourceCodester, affectant les versions 1.0.0 à 1.0. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les pages web, potentiellement compromettant la confidentialité des données des utilisateurs. L'exploitation est possible à distance et un proof-of-concept (PoC) a été rendu public.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, ou à la modification du contenu de la page web affichée. Un attaquant pourrait également utiliser cette vulnérabilité pour lancer des attaques de phishing ciblées, en imitant l'interface du système Sales and Inventory System afin de voler des informations d'identification sensibles. La publication d'un PoC rend l'exploitation plus accessible et augmente le risque d'attaques.
Le PoC publié indique une probabilité d'exploitation élevée. La vulnérabilité n'est pas encore répertoriée sur KEV, mais la publication d'un PoC public augmente considérablement le risque d'attaques. La date de publication de la CVE est le 2026-04-08.
Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.
• php / web:
curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
grep -i 'alert("XSS")' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le système Sales and Inventory System vers une version corrigée, dès qu'elle sera disponible. En attendant, des mesures de protection peuvent être mises en place. Il est recommandé de désactiver temporairement la fonctionnalité /delete.php si elle n'est pas essentielle. L'implémentation d'une politique de sécurité de contenu (CSP) peut également aider à atténuer le risque en limitant les sources de scripts autorisées. Vérifiez après la mise à jour que la fonctionnalité /delete.php ne présente plus de vulnérabilité XSS en tentant d'injecter un script simple et en observant le comportement du navigateur.
Mettez à jour le système Sales and Inventory System vers une version corrigée. Consultez la documentation du fournisseur pour obtenir des instructions de mise à jour spécifiques. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et l'encodage des sorties, pour atténuer le risque d'attaques XSS.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5810 is a cross-site scripting (XSS) vulnerability in SourceCodester Sales and Inventory System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the /delete.php file.
If you are using SourceCodester Sales and Inventory System version 1.0.0 or 1.0, you are potentially affected by this XSS vulnerability.
Upgrade to a patched version of SourceCodester Sales and Inventory System as soon as it becomes available. Implement input validation and output encoding as a temporary workaround.
An exploit has been published, indicating a high probability of active exploitation. Immediate action is recommended.
Refer to the SourceCodester website or their official communication channels for the latest advisory regarding CVE-2026-5810.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.