無料スキャン
LOWCVE-2026-5810CVSS 3.5

SourceCodester Sales and Inventory System GET Parameter delete.php クロスサイトスクリプティング

プラットフォーム

php

コンポーネント

sales-and-inventory-system

修正版

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存

SourceCodester Sales and Inventory Systemのバージョン1.0.0から1.0.0までのファイル/delete.phpにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見されました。この脆弱性は、悪意のあるスクリプトをWebサイトに埋め込むことを可能にし、ユーザーがそのページを閲覧するとスクリプトが実行され、セッションハイジャックや情報窃取などの攻撃につながる可能性があります。攻撃コードが公開されており、早急な対応が必要です。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がSales and Inventory SystemのWebインターフェースを通じて悪意のあるJavaScriptコードを注入することを可能にします。攻撃者は、ユーザーがログインしているセッションを乗っ取ったり、機密情報を盗み出したり、Webサイトを改ざんしたりする可能性があります。特に、管理者権限を持つユーザーが攻撃を受けると、システム全体への影響が及ぶ可能性があります。公開されている攻撃コードにより、悪用が容易になっているため、早急な対応が必要です。類似のXSS脆弱性は、Webサイトの信頼性を損ない、ユーザーの個人情報漏洩につながる深刻な問題を引き起こす可能性があります。

悪用の状況

この脆弱性は、攻撃コードが公開されているため、悪用される可能性が高いと考えられます。CISAのKEVリストへの登録状況は不明ですが、攻撃コードの公開を考慮すると、リスクは中程度と評価できます。NVDおよびCISAの公開日は2026年4月8日です。攻撃者の活動状況は現時点では不明ですが、公開されている攻撃コードを悪用した攻撃が発生する可能性があります。

リスク対象者翻訳中…

Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.

検出手順翻訳中…

• php / web:

curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert

• generic web:

curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert

• generic web:

 grep -i 'alert("XSS")' /var/log/apache2/access.log

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R3.5LOWAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントsales-and-inventory-system
ベンダーSourceCodester
影響範囲修正版
1.0 – 1.01.0.1

弱点分類 (CWE)

CWE-79CWE-94

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
未パッチ — 公開から46日経過

緩和策と回避策

この脆弱性への対応策として、まずSales and Inventory Systemを最新バージョンにアップデートすることが推奨されます。アップデートが利用できない場合は、Webアプリケーションファイアウォール(WAF)を導入し、XSS攻撃を検知・防御するルールを設定してください。また、入力値の検証を強化し、悪意のあるスクリプトが注入されるのを防ぐための対策を講じてください。さらに、アクセスログを監視し、不審なアクセスパターンを検出することで、攻撃の兆候を早期に発見できます。アップデート後、システムにログインし、/delete.phpにアクセスして、XSS攻撃が成功しないことを確認してください。

修正方法

Sales and Inventory System を修正されたバージョンにアップデートしてください。具体的なアップデート手順については、ベンダーのドキュメントを確認してください。入力検証や出力エンコードなど、追加のセキュリティ対策を実装して、XSS 攻撃のリスクを軽減してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5810 — XSSはSales and Inventory Systemで何ですか?

CVE-2026-5810は、SourceCodester Sales and Inventory System 1.0.0–1.0の/delete.phpにおけるクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は悪意のあるスクリプトを注入し、ユーザーを攻撃できます。

CVE-2026-5810はSales and Inventory Systemで影響を受けますか?

はい、Sales and Inventory Systemのバージョン1.0.0から1.0.0までのユーザーは、このXSS脆弱性に影響を受けます。速やかに対応が必要です。

CVE-2026-5810はSales and Inventory Systemでどのように修正しますか?

Sales and Inventory Systemを最新バージョンにアップデートするか、WAFを導入してXSS攻撃を防御してください。入力値の検証を強化することも有効です。

CVE-2026-5810は積極的に悪用されていますか?

攻撃コードが公開されているため、悪用される可能性が高いと考えられます。

CVE-2026-5810のSales and Inventory System公式アドバイザリはどこで入手できますか?

SourceCodesterの公式ウェブサイトまたは関連するセキュリティコミュニティでアドバイザリを確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索