Plateforme
php
Composant
simple-laundry-system
Corrigé dans
1.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans Simple Laundry System, versions 1.0.0 à 1.0. Cette faille affecte le fichier /checkupdatestatus.php et permet l'exécution de scripts malveillants via la manipulation de l'argument serviceId. L'exploitation est possible à distance et a été divulguée publiquement, ce qui augmente le risque d'attaques.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter des scripts malveillants dans les pages web consultées par les utilisateurs de Simple Laundry System. Ces scripts peuvent être utilisés pour voler des informations sensibles telles que des cookies de session, des identifiants de connexion ou des données personnelles. L'attaquant peut également rediriger les utilisateurs vers des sites web malveillants, modifier le contenu des pages web ou effectuer des actions en leur nom, compromettant ainsi la sécurité et la confidentialité des données.
Cette vulnérabilité a été divulguée publiquement le 13 avril 2026, ce qui augmente la probabilité d'exploitation. Bien qu'il n'y ait pas d'indication d'une campagne d'exploitation active à ce jour, la disponibilité d'un Proof of Concept (PoC) public rend l'exploitation plus accessible aux attaquants. La vulnérabilité a été ajoutée au catalogue KEV de CISA, ce qui indique un risque potentiellement élevé.
Organizations and individuals utilizing Simple Laundry System versions 1.0.0 through 1.0.0 are at risk. This includes businesses relying on the system for laundry management, as well as developers who have integrated the system into their applications. Shared hosting environments where Simple Laundry System is deployed are particularly vulnerable due to the potential for cross-tenant attacks.
• php / web:
curl -I 'http://your-simple-laundry-system/checkupdatestatus.php?serviceId=<script>alert(1)</script>' | grep -i 'content-type'• generic web:
curl -s 'http://your-simple-laundry-system/checkupdatestatus.php?serviceId=<script>alert(1)</script>' | grep 'alert(1)'disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Simple Laundry System vers une version corrigée, dès que celle-ci sera disponible. En attendant, il est possible de mettre en place des mesures de protection temporaires, telles que la validation stricte des entrées utilisateur et l'utilisation d'une politique de sécurité de contenu (CSP) pour limiter l'exécution de scripts provenant de sources non approuvées. L'implémentation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité des fichiers et effectuez des tests de pénétration pour confirmer l'absence de la vulnérabilité.
Mettez à jour le plugin Simple Laundry System à la dernière version disponible pour atténuer la vulnérabilité XSS (Cross-Site Scripting). Examinez le code source pour identifier et corriger la cause première du problème, en vous assurant de correctement assainir les entrées utilisateur avant de les afficher sur la page web. Implémentez des mesures de sécurité supplémentaires, telles que la validation des entrées et l'encodage des sorties, pour prévenir de futures attaques XSS.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-6150 is a cross-site scripting (XSS) vulnerability affecting Simple Laundry System versions 1.0.0–1.0.0, allowing attackers to inject malicious scripts via the /checkupdatestatus.php file.
If you are using Simple Laundry System versions 1.0.0–1.0.0, you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of Simple Laundry System. Until then, implement input validation and consider using a WAF.
While no active campaigns have been confirmed, the public disclosure of this vulnerability increases the risk of exploitation.
Refer to the Simple Laundry System official website or security channels for the latest advisory and patch information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.