プラットフォーム
php
コンポーネント
hajimi
修正版
1.0.1
code-projects Exam Form Submission 1.0にクロスサイトスクリプティング(XSS)の脆弱性が発見されました。この脆弱性は、/admin/update_fst.phpの特定の関数におけるsname引数の操作を通じて悪用され、リモートからの攻撃を可能にします。影響を受けるのはバージョン1.0から1.0です。現在、公式な修正パッチは提供されていません。
CVE-2026-5106は、'Exam Form Submission'バージョン1.0に影響を与え、特にファイル/admin/update_fst.php内の不明な関数に影響を与えます。この脆弱性は、'sname'引数の操作に起因し、クロスサイトスクリプティング(XSS)の脆弱性につながります。これは、攻撃者がアプリケーションに悪意のあるコードを注入し、他のユーザーのブラウザでそのコードが実行されることを意味します。これにより、機密情報の窃取、ユーザーのなりすまし、悪意のあるWebサイトへのリダイレクトが可能になります。攻撃がリモートで実行可能であり、エクスプロイトが公開されているため、リスクは高くなります。利用可能な修正プログラムがないことは状況を悪化させ、緊急の対応が必要です。
CVE-2026-5106は、/admin/update_fst.phpの'sname'パラメータの操作を通じて悪用されます。攻撃者は、このファイルに悪意のあるHTTPリクエストを送信し、'sname'の値内にJavaScriptコードを注入できます。このパラメータの適切な検証またはエスケープがないため、注入されたコードが保存され、'sname'に関連するデータを表示するページを別のユーザーが訪問するときに実行されます。公開されているエクスプロイトがあるということは、攻撃者が攻撃を実行するためのステップバイステップのガイドを持っていることを意味し、悪用のリスクが大幅に増加します。この脆弱性のリモート性により、アプリケーションへのアクセス権がある場所からどこからでも悪用できます。
Administrators and users with access to the /admin/update_fst.php endpoint are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• php / web:
grep -r 'sname' /var/www/exam_form_submission/admin/update_fst.php• generic web:
curl -I http://your-exam-form-submission-url.com/admin/update_fst.php?sname=<script>alert(1)</script>• generic web: Examine access logs for requests to /admin/update_fst.php containing suspicious characters in the 'sname' parameter (e.g., <script>, <img src=x onerror=alert(1)>).
disclosure
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
公式な修正プログラム(fix: none)が提供されていないため、即時の軽減策は予防措置に焦点を当てています。修正プログラムが実装されるまで、/admin/update_fst.php内の影響を受ける機能を一時的に無効にすることを強くお勧めします。さらに、'sname'引数に対する堅牢な入力フィルタリングを実装し、潜在的に危険な文字をすべて検証およびエスケープすることが重要です。'sname'の操作に関連する疑わしいアクティビティについて、サーバーログを積極的に監視することが不可欠です。Webアプリケーションファイアウォール(WAF)を使用して、XSS攻撃を検出し、ブロックすることを検討してください。最後に、サーバーソフトウェアとすべての依存関係を最新の状態に保ち、組み合わせて悪用される可能性のある他の脆弱性を軽減してください。
Actualizar a una versión parcheada o aplicar las medidas de seguridad necesarias para evitar la inyección de código malicioso a través del parámetro 'sname' en el archivo '/admin/update_fst.php'. Validar y limpiar las entradas del usuario para prevenir ataques de Cross-Site Scripting (XSS).
脆弱性分析と重要アラートをメールでお届けします。
XSS(クロスサイトスクリプティング)は、攻撃者が他のユーザーが閲覧するWebページに悪意のあるスクリプトを注入できるセキュリティ脆弱性の種類です。
これは、この脆弱性に対して開発者から公式なソリューションまたはパッチが提供されていないことを示します。
'Exam Form Submission'バージョン1.0を使用している場合は、影響を受けている可能性が高いです。サーバーログを監視し、侵入テストを実行してください。
WAF(Web Application Firewall)は、XSSやSQLインジェクションなどの一般的な攻撃からWebアプリケーションを保護するセキュリティツールです。
影響を受けたシステムを隔離し、すべてのユーザーのパスワードを変更し、包括的なセキュリティ監査を実行してください。
CVSS ベクトル