Cyber-III Student-Management-System add%20notice.php クロスサイトスクリプティング

このXSS脆弱性は、攻撃者が悪意のあるスクリプトをWebサイトに注入し、ユーザーがそのページを閲覧した際にスクリプトが実行されることを可能にします。攻撃者は、ユーザーのCookieを盗み取り、セッションを乗っ取ったり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、Webサイトのコンテンツを改ざんしたりする可能性があります。特に、管理者権限を持つユーザーが攻撃を受けると、システム全体への影響が及ぶ可能性があります。攻撃コードが公開されているため、悪用されるリスクが高く、迅速な対応が必要です。

Organizations utilizing Cyber-III Student-Management-System, particularly those with publicly accessible administrative interfaces, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.

• generic web: Use curl to test the /admin/Add%20notice/add%20notice.php endpoint with various payloads containing <script> tags. Examine the response for signs of script execution.

curl -X POST -d '<script>alert("XSS")</script>' http://your-target/admin/Add%20notice/add%20notice.php

• generic web: Review access and error logs for unusual patterns or requests containing suspicious characters or script tags. • php: Examine the source code of /admin/Add%20notice/add%20notice.php for inadequate input sanitization of the $SERVER['PHPSELF'] variable.

1. 2026-04-06Disclosure

   disclosure

2. 2026-04-06PoC

   poc

1. 予約済み2026-04-06
2. 公開日2026-04-06
3. EPSS 更新日2026-04-14

Cyber-III Student-Management-Systemのバージョンアップが推奨されますが、具体的な修正バージョンが公開されていないため、一時的な緩和策として、入力値の検証とエスケープ処理を厳格に行う必要があります。Webアプリケーションファイアウォール(WAF)を導入し、XSS攻撃を検知・防御することも有効です。また、/admin/Add%20notice/add%20notice.phpへのアクセスを制限するなどの対策も検討できます。攻撃コードの公開状況を監視し、新たな攻撃手法に対応できるよう、セキュリティ対策を継続的に見直すことが重要です。