Plateforme
php
Composant
phpgurukul-company-visitor-management-system
Corrigé dans
2.0.1
Une vulnérabilité de type Cross-Site Scripting (XSS) a été découverte dans le système de gestion des visiteurs PHPGurukul Company Visitor Management System, affectant les versions 2.0.0 à 2.0. Cette faille permet à un attaquant d'injecter des scripts malveillants via la manipulation de l'argument 'fromdate' dans le fichier /bwdates-reports-details.php. La vulnérabilité est exploitable à distance et a été rendue publique.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript arbitraire dans les pages web consultées par les utilisateurs du système PHPGurukul Company Visitor Management System. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, ou à la modification du contenu affiché, compromettant ainsi l'intégrité et la confidentialité des données. Un attaquant pourrait également utiliser cette vulnérabilité pour lancer des attaques de phishing ciblées contre les utilisateurs du système, en leur faisant croire qu'ils interagissent avec une page légitime.
Cette vulnérabilité a été rendue publique le 2026-04-13. Aucune information concernant une exploitation active n'est disponible à ce jour. Le score CVSS de 3.5 (LOW) indique une probabilité d'exploitation relativement faible, mais la divulgation publique de la vulnérabilité nécessite une attention particulière.
Organizations using PHPGurukul Company Visitor Management System version 2.0.0–2.0, particularly those with publicly accessible instances and inadequate input validation practices, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised user account could be used to exploit the vulnerability and impact other users.
• php / web:
curl -I 'http://your-target-domain.com/bwdates-reports-details.php?fromdate=<script>alert("XSS")</script>' | grep HTTP/1.1• generic web:
grep -i "<script>alert("XSS")</script>" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
En l'absence d'une version corrigée spécifiée, la mitigation immédiate consiste à désactiver temporairement le fichier /bwdates-reports-details.php ou à mettre en œuvre une validation stricte des entrées utilisateur, en particulier de l'argument 'fromdate'. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes contenant des payloads XSS. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour vers une version corrigée (dès qu'elle sera disponible), vérifiez que la vulnérabilité a bien été corrigée en testant le fichier /bwdates-reports-details.php avec des entrées malveillantes.
Mettez à jour le système PHPGurukul Company Visitor Management System vers la dernière version disponible pour atténuer la vulnérabilité XSS. Consultez la documentation du fournisseur pour obtenir des instructions de mise à jour spécifiques. Implémentez des mesures de sécurité supplémentaires, telles que la validation et l'assainissement des entrées, pour prévenir de futures attaques XSS.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-6162 is a cross-site scripting (XSS) vulnerability in PHPGurukul Company Visitor Management System versions 2.0.0–2.0, allowing attackers to inject malicious scripts via the 'fromdate' parameter.
If you are using PHPGurukul Company Visitor Management System version 2.0.0–2.0 and have not applied a patch, you are potentially affected by this vulnerability.
The recommended fix is to upgrade to a patched version of PHPGurukul Company Visitor Management System. Until then, implement input validation and output encoding.
As of the publication date, there is no confirmed evidence of active exploitation, but a proof-of-concept may be available.
Refer to the PHPGurukul website or security advisories for the official advisory regarding CVE-2026-6162.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.