CVE-2026-5541: XSS in Simple Laundry System

このXSS脆弱性を悪用されると、攻撃者はユーザーがSimple Laundry Systemにログインしている間に、そのユーザーになりすまして任意のJavaScriptコードを実行できます。これにより、機密情報の窃取（ログイン情報、個人情報など）、ユーザーのなりすまし、悪意のあるWebサイトへのリダイレクト、またはシステムへのさらなる攻撃の踏み台として利用される可能性があります。攻撃者は、ユーザーがシステム上で実行する操作を監視し、その結果を悪用することも可能です。この脆弱性は、特に管理者権限を持つユーザーが標的となる可能性が高く、システム全体への影響が及ぶ可能性があります。

Organizations and individuals using Simple Laundry System version 1.0.0–1.0 are at risk. Shared hosting environments are particularly vulnerable, as a compromised account on one site could potentially be used to exploit this vulnerability on other sites hosted on the same server.

• php / web:

curl -I 'http://your-simple-laundry-system/modmemberinfo.php?userid=<script>alert(1)</script>' | grep -i 'content-type'

• generic web:

curl -I 'http://your-simple-laundry-system/modmemberinfo.php?userid=<script>alert(1)</script>' | grep -i 'content-type'

• generic web: Check access logs for requests to /modmemberinfo.php with unusual or suspicious values in the 'userid' parameter. • generic web: Review response headers for signs of XSS payloads being executed.

1. 2026-04-05Disclosure

   disclosure

1. 予約済み2026-04-04
2. 公開日2026-04-05
3. 更新日2026-04-06
4. EPSS 更新日2026-04-12

Simple Laundry Systemのバージョンを1.0.0–1.0より新しいバージョンにアップデートすることで、この脆弱性は修正されます。アップデートが利用できない場合は、/modmemberinfo.phpへのアクセスを制限するWAFルールを実装するか、useridパラメータの入力を厳密に検証する入力サニタイズ処理を追加することを検討してください。また、Webアプリケーションプロキシを使用している場合は、XSS攻撃を検知・防御するためのルールを設定することも有効です。アップデート後、システムにログインし、/modmemberinfo.phpにアクセスして、スクリプトが実行されないことを確認してください。