code-projects Exam Form Submission update_s7.php クロスサイトスクリプティング

Exam Form Submission 1.0において、/admin/update_s7.phpファイル内でCross-Site Scripting（XSS）の脆弱性が確認されました。この脆弱性は、引数'sname'の操作によって引き起こされ、攻撃者が悪意のあるコードをアプリケーションに注入することを可能にします。潜在的な影響としては、アプリケーションとやり取りするユーザーのブラウザで悪意のあるスクリプトが実行され、機密情報（ログイン認証情報など）の窃取、悪意のあるWebサイトへのリダイレクト、またはWebページのコンテンツの改ざんにつながる可能性があります。この脆弱性の悪用はリモートで行え、エクスプロイトが公開されているため、リスクは高く、緊急の対応が必要です。修正プログラム（fix）が利用できないことは、状況をさらに悪化させ、アプリケーションを積極的に攻撃される状態にします。

Administrators and users of Exam Form Submission version 1.0 are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as an attacker could potentially compromise other applications on the same server through this vulnerability.

• php / web: Examine /admin/update_s7.php for inadequate input validation on the 'sname' parameter. Search access logs for requests containing suspicious JavaScript code in the 'sname' parameter.

grep -i 'script|alert' /var/log/apache2/access.log | grep /admin/update_s7.php

1. 2026-03-27Disclosure

   disclosure

1. 予約済み2026-03-26
2. 公開日2026-03-27
3. EPSS 更新日2026-04-03

開発者から公式な修正プログラムが提供されていないため、直ちに軽減策を実施することをお勧めします。これには、特に'sname'引数を含むすべてのユーザー入力の厳格な検証とサニタイズが含まれます。Content Security Policy（CSP）を実装することで、悪意のあるスクリプトの実行を防止できます。さらに、アプリケーションを不審な活動がないか積極的に監視し、解決策が利用可能になるまで影響を受ける機能を一時的に無効にすることを検討してください。Exam Form Submissionの新しいバージョンが利用可能になったら、アップグレードが最終的な解決策となります。ソフトウェアベンダーに問い合わせて、可能なアップデートに関する情報を入手することもお勧めします。