Plateforme
php
Composant
online-shoe-store
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans Online Shoe Store version 1.0.0 à 1.0. Cette faille, affectant la fonction inconnue du fichier /admin/adminrunning.php, permet l'exécution de scripts malveillants via la manipulation de l'argument productname. L'exploitation est possible à distance et un Proof of Concept (PoC) est désormais public.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript arbitraire dans les pages web consultées par les utilisateurs d'Online Shoe Store. Cela peut conduire au vol de cookies de session, à l'usurpation d'identité, au détournement de trafic vers des sites malveillants, ou à la modification du contenu affiché. L'attaquant pourrait ainsi compromettre la confidentialité des données des clients et la réputation du magasin en ligne. Le PoC public rend l'exploitation plus accessible et augmente le risque d'attaques.
Cette vulnérabilité est publique depuis le 2026-04-09 et un PoC est disponible, ce qui augmente la probabilité d'exploitation. Bien que la CVSS soit classée comme Faible, la disponibilité d'un PoC facilite l'exploitation par des attaquants moins expérimentés. Il n'y a pas d'indication d'une campagne d'exploitation active à ce jour, mais la vigilance est de mise.
Administrators of Online Shoe Store installations, particularly those running versions 1.0.0 through 1.0, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user could potentially exploit this vulnerability to affect other users on the same server.
• php / web:
grep -r "product_name = $_GET['product_name']" /var/www/html/admin/admin_running.php• generic web:
curl -I https://your-online-shoe-store.com/admin/admin_running.php?product_name=<script>alert('XSS')</script>disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour Online Shoe Store vers une version corrigée, dès qu'elle sera disponible. En attendant, des mesures de protection temporaires peuvent être mises en place. Il est recommandé de désactiver temporairement l'accès à /admin/adminrunning.php si possible. L'implémentation de règles de validation et d'échappement strictes pour l'entrée productname peut aider à atténuer le risque. Un Web Application Firewall (WAF) configuré pour bloquer les requêtes contenant des balises script suspectes peut également fournir une couche de protection supplémentaire. Surveillez les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettez à jour le plugin Online Shoe Store à la dernière version disponible, car cette version corrige la vulnérabilité de Cross-Site Scripting (XSS) dans le fichier admin_running.php. Vérifiez la source du plugin pour obtenir des instructions de mise à jour ou contactez le développeur pour obtenir de l'assistance.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5834 is a cross-site scripting (XSS) vulnerability affecting Online Shoe Store versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the product_name parameter.
If you are running Online Shoe Store version 1.0.0 through 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as it becomes available.
The recommended fix is to upgrade to a patched version of Online Shoe Store. Contact the vendor for an updated release. Implement input validation and output encoding as an interim measure.
While there is no confirmed active exploitation, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the Online Shoe Store vendor's website or security advisory page for the official advisory regarding CVE-2026-5834.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.