Plateforme
php
Composant
code-projects-online-shoe-store
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans code-projects Online Shoe Store, affectant les versions 1.0.0 à 1.0. Cette faille permet à un attaquant d'injecter des scripts malveillants dans le code source de la page, potentiellement compromettant la sécurité des utilisateurs. L'exploit a été rendu public, augmentant le risque d'exploitation.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript arbitraire dans les pages web consultées par les utilisateurs de code-projects Online Shoe Store. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, ou à la modification du contenu affiché, induisant les utilisateurs en erreur. L'attaquant peut également utiliser cette vulnérabilité pour effectuer des actions au nom de l'utilisateur authentifié, compromettant ainsi la confidentialité et l'intégrité des données sensibles. La publication d'un exploit rend cette vulnérabilité particulièrement critique.
Cette vulnérabilité est considérée comme de faible sévérité selon le CVSS 2.4. Un exploit public est disponible, ce qui augmente la probabilité d'exploitation. Bien qu'il n'y ait pas d'indications d'exploitation active à ce jour, la publication de l'exploit nécessite une attention immédiate pour réduire le risque.
Administrators of code-projects Online Shoe Store installations are the primary group at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a successful attack could potentially compromise other websites hosted on the same server. Users with administrative privileges are at the highest risk.
• php / web:
curl -s -X POST "http://your-target-domain.com/admin/admin_football.php" -d "product_name=<script>alert('XSS')</script>" | grep "<script>alert('XSS')</script>"• generic web:
curl -I http://your-target-domain.com/admin/admin_football.php?product_name=<script>alert('XSS')</script>• generic web: Examine access logs for requests to /admin/adminfootball.php containing suspicious characters or patterns in the productname parameter (e.g., <script>, <img src=x onerror=alert('XSS')>, etc.).
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
En l'absence d'une version corrigée, la mitigation immédiate consiste à désactiver temporairement l'accès à la page /admin/adminfootball.php. Implémentez une validation stricte des entrées utilisateur, en particulier pour le paramètre productname, afin d'empêcher l'injection de code malveillant. Utilisez un Web Application Firewall (WAF) configuré pour bloquer les requêtes contenant des scripts potentiellement dangereux. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettez à jour le plugin 'code-projects Online Shoe Store' à la dernière version disponible pour atténuer la vulnérabilité XSS (Cross Site Scripting) dans le fichier admin_football.php. Vérifiez les sources officielles du plugin pour obtenir des instructions de mise à jour et des correctifs de sécurité. Implémentez une validation et un échappement appropriés pour l'entrée utilisateur 'product_name' afin de prévenir de futures attaques XSS (Cross Site Scripting).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5835 is a cross-site scripting (XSS) vulnerability in code-projects Online Shoe Store versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the productname parameter in /admin/adminfootball.php.
You are affected if you are running code-projects Online Shoe Store version 1.0.0–1.0 and have not yet applied a patch or implemented mitigating controls.
Upgrade to a patched version of code-projects Online Shoe Store as soon as it is available. Until then, implement a WAF rule and strict input sanitization.
A public proof-of-concept exists, suggesting a potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the code-projects website or security mailing list for the official advisory regarding CVE-2026-5835.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.