SourceCodester Sales and Inventory System GET Parameter delete.php クロスサイトスクリプティング

このXSS脆弱性は、攻撃者がSales and Inventory SystemのWebインターフェースを通じて悪意のあるJavaScriptコードを注入することを可能にします。攻撃者は、ユーザーがログインしているセッションを乗っ取ったり、機密情報を盗み出したり、Webサイトを改ざんしたりする可能性があります。特に、管理者権限を持つユーザーが攻撃を受けると、システム全体への影響が及ぶ可能性があります。公開されている攻撃コードにより、悪用が容易になっているため、早急な対応が必要です。類似のXSS脆弱性は、Webサイトの信頼性を損ない、ユーザーの個人情報漏洩につながる深刻な問題を引き起こす可能性があります。

Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.

• php / web:

curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert

• generic web:

curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert

• generic web:

 grep -i 'alert("XSS")' /var/log/apache2/access.log

1. 2026-04-08Disclosure

   disclosure

1. 予約済み2026-04-08
2. 公開日2026-04-08
3. 更新日2026-04-13
4. EPSS 更新日2026-04-16

この脆弱性への対応策として、まずSales and Inventory Systemを最新バージョンにアップデートすることが推奨されます。アップデートが利用できない場合は、Webアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検知・防御するルールを設定してください。また、入力値の検証を強化し、悪意のあるスクリプトが注入されるのを防ぐための対策を講じてください。さらに、アクセスログを監視し、不審なアクセスパターンを検出することで、攻撃の兆候を早期に発見できます。アップデート後、システムにログインし、/delete.phpにアクセスして、XSS攻撃が成功しないことを確認してください。