Platform
php
Component
codeigniter
Opgelost in
3.4.4
CVE-2026-32712 describes a Stored Cross-Site Scripting (XSS) vulnerability within the Open Source Point of Sale application, built using the CodeIgniter framework. This flaw allows an attacker to inject malicious JavaScript code into the customer_name field of the Daily Sales management table. The vulnerability impacts versions 1.0.0 through 3.4.2 of the application, and a fix is available in version 3.4.3.
CVE-2026-32712 in Open Source Point of Sale (opensourcepos) vormt een risico van Stored Cross-Site Scripting (XSS). Specifiek zorgt een verkeerde configuratie van de kolom 'customername' in de tabel voor dagelijkse verkoopbeheer, met 'escape: false', ervoor dat klantnamen als ruwe HTML worden weergegeven. Dit betekent dat een aanvaller met klantbeheerrechten kwaadaardige JavaScript-code in de velden 'firstname' of 'last_name' van een klant kan injecteren. Zodra deze code is geïnjecteerd, wordt deze uitgevoerd in de browser van elke gebruiker die toegang heeft tot de klantgegevens, wat kan leiden tot diefstal van cookies, doorverwijzing naar kwaadaardige sites of wijziging van het uiterlijk van de applicatie. De CVSS-severity score is 5.4, wat een gemiddeld-hoog risico aangeeft. De applicatie wordt gebruikt in point-of-sale omgevingen, waarbij gevoelige klantgegevens en financiële transacties worden verwerkt, waardoor de potentiële impact van exploitatie toeneemt.
Een aanvaller met klantbeheergewoonten kan deze kwetsbaarheid exploiteren. De aanval omvat het maken of wijzigen van een klantrecord en het injecteren van kwaadaardige JavaScript-code in de velden 'firstname' of 'lastname'. Wanneer een andere gebruiker (bijvoorbeeld een medewerker of een klant die toegang heeft tot zijn aankoopgeschiedenis) de gewijzigde klantgegevens bekijkt, wordt de geïnjecteerde JavaScript-code in zijn browser uitgevoerd. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om klantbeheergewoonten te verkrijgen en het ontbreken van de juiste HTML-escaping in de kolom 'customer_name'. De opgeslagen aard van de kwetsbaarheid betekent dat de kwaadaardige code in de database blijft bestaan en alle gebruikers beïnvloedt die toegang hebben tot de gecompromitteerde klantgegevens.
Organizations using the Open Source Point of Sale application with versions 1.0.0 through 3.4.2, particularly those with customer-facing interfaces and limited input validation, are at risk. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromised application could potentially impact other tenants.
• php / web:
grep -r "escape: false" /path/to/opensrcpos/application/config/bootstrap.php• generic web:
curl -I http://your-pos-instance/daily_sales | grep -i content-security-policy• generic web:
Check access logs for unusual POST requests to the Daily Sales page with potentially malicious input in the customer_name parameter.
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar versie 3.4.3 of hoger van Open Source Point of Sale. Deze versie corrigeert de verkeerde configuratie van de kolom 'customer_name' door de juiste HTML-escaping te implementeren, waardoor het injecteren van kwaadaardige code wordt voorkomen. Daarnaast wordt aanbevolen om de toegangscontrolebeleid te beoordelen en te versterken om klantbeheerrechten te beperken tot geautoriseerde gebruikers. Het implementeren van een robuuste invoervalidatie en -sanering is een algemene beveiligingsbest practice die helpt om toekomstige XSS-kwetsbaarheden te voorkomen. Regelmatig monitoren van applicatielogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Periodieke penetratietests zijn essentieel om eventuele andere beveiligingskwetsbaarheden te identificeren en te verhelpen.
Actualice a la versión 3.4.3 o superior para mitigar la vulnerabilidad de XSS. La actualización corrige la configuración incorrecta del escape en la columna customer_name, evitando la inyección de código malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Opgeslagen XSS (of persistent) treedt op wanneer kwaadaardige code wordt opgeslagen in een database of een andere server-side resource en elke keer wordt uitgevoerd dat een gebruiker de pagina die deze bevat bezoekt.
De aanvaller heeft klantbeheergewoonten nodig binnen de Open Source Point of Sale-applicatie.
Als u een versie ouder dan 3.4.3 van Open Source Point of Sale gebruikt, is de kans groot dat u getroffen bent. Voer een upgrade uit naar de nieuwste versie.
Beperk de toegang tot het klantbeheer, bekijk de applicatielogs op verdachte activiteiten en overweeg een Web Application Firewall (WAF) te implementeren.
U kunt meer informatie over CVE-2026-32712 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD) van NIST.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.