Plateforme
php
Composant
code-projects-vehicle-showroom-management-system
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans le système Vehicle Showroom Management System, affectant les versions 1.0.0 à 1.0. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les pages web consultées par d'autres utilisateurs. L'exploitation réussie peut entraîner le vol de données sensibles ou la prise de contrôle de sessions utilisateur. La vulnérabilité a été rendue publique et une correction est disponible.
L'exploitation de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans le Vehicle Showroom Management System. Ce code peut être exécuté dans le navigateur des utilisateurs lorsqu'ils visitent une page affectée. Un attaquant pourrait ainsi voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, ou modifier le contenu de la page web pour afficher de fausses informations. Le risque est accru si le système est utilisé pour gérer des informations sensibles telles que les données clients ou les détails des véhicules. Une attaque réussie pourrait compromettre la confidentialité et l'intégrité des données, ainsi que la confiance des utilisateurs dans le système.
Cette vulnérabilité a été rendue publique le 10 avril 2026. Un Proof of Concept (PoC) est potentiellement disponible, ce qui augmente le risque d'exploitation. Bien qu'aucune exploitation active n'ait été confirmée à ce jour, la divulgation publique de la vulnérabilité et la disponibilité potentielle d'un PoC indiquent un risque accru d'attaques. Il est conseillé de surveiller attentivement les systèmes exposés et de mettre en œuvre les mesures de mitigation appropriées.
Organizations using the Vehicle Showroom Management System, particularly those with publicly accessible instances or those handling sensitive customer data, are at risk. Users who interact with the application and are not properly authenticated are also vulnerable to exploitation.
• generic web:
curl -I 'https://example.com/BranchManagement/ServiceAndSalesReport.php?BRANCH_ID=<script>alert(1)</script>' | grep -i 'content-type: text/html'• generic web:
curl 'https://example.com/BranchManagement/ServiceAndSalesReport.php?BRANCH_ID=<script>alert(1)</script>' | grep -o '<script.*?>.*?</script>'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à appliquer la correction fournie par le développeur du Vehicle Showroom Management System. Vérifiez régulièrement les mises à jour de sécurité et appliquez-les dès qu'elles sont disponibles. En attendant la mise à jour, il est possible de mettre en place des règles de filtrage côté serveur (WAF) pour bloquer les requêtes contenant des caractères suspects dans le paramètre BRANCHID. Il est également recommandé de sensibiliser les utilisateurs aux risques de XSS et de les encourager à signaler tout comportement suspect. Après la mise à jour, vérifiez l'absence de vulnérabilité en effectuant des tests de pénétration ciblés sur le paramètre BRANCHID.
Mettez à jour le système Vehicle Showroom Management System vers une version corrigée. Examinez le code source du fichier /BranchManagement/ServiceAndSalesReport.php pour identifier et corriger la vulnérabilité XSS (Cross Site Scripting). Implémentez une validation et un encodage appropriés des entrées utilisateur pour prévenir les attaques XSS (Cross Site Scripting).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-6035 is a cross-site scripting (XSS) vulnerability in Vehicle Showroom Management System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the BRANCH_ID parameter.
If you are using Vehicle Showroom Management System version 1.0.0–1.0, you are potentially affected by this vulnerability. Check your version and apply the recommended fix.
Upgrade to a patched version of Vehicle Showroom Management System as soon as it's available. Until then, implement input validation and output encoding to mitigate the risk.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the official Vehicle Showroom Management System website or security channels for the latest advisory and patch information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.