プラットフォーム
php
コンポーネント
code-projects-online-shoe-store
修正版
1.0.1
CVE-2026-5835は、code-projects Online Shoe Storeのバージョン1.0.0から1.0.0までの間で発見されたクロスサイトスクリプティング(XSS)の脆弱性です。攻撃者は、/admin/adminfootball.phpのproductname引数を操作することで、悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能です。この脆弱性はリモートから攻撃可能であり、既にエクスプロイトが公開されているため、早急な対応が必要です。
このXSS脆弱性を悪用されると、攻撃者はユーザーがログインしている管理画面に悪意のあるスクリプトを挿入し、セッションハイジャック、機密情報の窃取、またはウェブサイトの改ざんを行う可能性があります。特に、管理者が悪意のあるリンクをクリックしたり、フォームに入力したりした場合、攻撃の影響は甚大になる可能性があります。この脆弱性は、類似のXSS攻撃と同様に、ユーザーの信頼を損ない、ビジネスへの損害をもたらす可能性があります。
CVE-2026-5835は、エクスプロイトが既に公開されているため、攻撃を受けるリスクが高いと考えられます。CISAのKEVリストへの登録状況は不明ですが、公開されているエクスプロイトの存在から、攻撃者による悪用が懸念されます。NVD(National Vulnerability Database)への登録日は2026年4月9日です。
Administrators of code-projects Online Shoe Store installations are the primary group at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a successful attack could potentially compromise other websites hosted on the same server. Users with administrative privileges are at the highest risk.
• php / web:
curl -s -X POST "http://your-target-domain.com/admin/admin_football.php" -d "product_name=<script>alert('XSS')</script>" | grep "<script>alert('XSS')</script>"• generic web:
curl -I http://your-target-domain.com/admin/admin_football.php?product_name=<script>alert('XSS')</script>• generic web: Examine access logs for requests to /admin/adminfootball.php containing suspicious characters or patterns in the productname parameter (e.g., <script>, <img src=x onerror=alert('XSS')>, etc.).
disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、code-projects Online Shoe Storeを最新バージョンにアップデートすることです。アップデートが利用できない場合は、入力値の検証とエスケープを厳格に行うことで、XSS攻撃のリスクを軽減できます。また、WAF(Web Application Firewall)を導入し、悪意のあるスクリプトの実行をブロックすることも有効です。さらに、管理者のセキュリティ意識向上トレーニングを実施し、不審なリンクやフォームへの入力に注意を促すことが重要です。アップデート後、管理画面にログインし、product_name引数に特殊文字を入力して、スクリプトが実行されないことを確認してください。
XSS 脆弱性を軽減するために、'code-projects Online Shoe Store' プラグインを最新バージョンにアップデートしてください。アップデート手順とセキュリティパッチについては、プラグインの公式ソースを確認してください。将来の XSS 攻撃を防ぐために、ユーザー入力 'product_name' への適切な検証とエスケープを実装してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-5835は、code-projects Online Shoe Storeの/admin/adminfootball.phpにおいて、productname引数操作によりクロスサイトスクリプティング(XSS)が発生する脆弱性です。攻撃者は悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能です。
はい、バージョン1.0.0~1.0.0を使用している場合は影響を受けます。攻撃者はユーザーのセッションをハイジャックしたり、機密情報を窃取したりする可能性があります。
code-projects Online Shoe Storeを最新バージョンにアップデートしてください。アップデートが利用できない場合は、入力値の検証とエスケープを厳格に行うことでリスクを軽減できます。
はい、エクスプロイトが既に公開されているため、攻撃を受けるリスクが高いと考えられます。
code-projects Online Shoe Storeの公式ウェブサイトまたはセキュリティアドバイザリページで確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。