Platform
php
Component
codeigniter
Opgelost in
3.4.4
CVE-2026-39380 describes a Stored Cross-Site Scripting (XSS) vulnerability within the Open Source Point of Sale application, a PHP-based point-of-sale system built on the CodeIgniter framework. This vulnerability allows attackers to inject malicious JavaScript code, which is then stored in the database and executed when the Employees interface is rendered. The vulnerability impacts versions 1.0.0 through 3.4.2, and a fix is available in version 3.4.3.
CVE-2026-39380 in Open Source Point of Sale (POS) vormt een aanzienlijk beveiligingsrisico voor POS-systemen die deze applicatie gebruiken. Het is een Stored Cross-Site Scripting (XSS)-kwetsbaarheid, wat betekent dat een aanvaller kwaadaardige JavaScript-code in de database kan injecteren via de stock_location-parameter in de configuratie van voorraadlocaties. Deze code wordt vervolgens opgeslagen en uitgevoerd wanneer de Medewerkers-interface wordt weergegeven. De potentiële impact omvat het stelen van inloggegevens van medewerkers, het manipuleren van gevoelige gegevens, het omleiden van gebruikers naar kwaadaardige websites en het uitvoeren van acties namens medewerkers, waardoor de integriteit en vertrouwelijkheid van zakelijke en klantgegevens in gevaar komt. De CVSS-score is 5,4, wat een gemiddeld-hoog risico aangeeft.
Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige JavaScript-code in het stock_location-veld te injecteren tijdens de configuratie van een nieuwe voorraadlocatie of het wijzigen van een bestaande. Deze code wordt opgeslagen in de database en uitgevoerd telkens wanneer een medewerker toegang krijgt tot de Medewerkers-interface, bijvoorbeeld bij het opvragen van de lijst met voorraadlocaties. De uitvoering van de JavaScript-code kan de aanvaller in staat stellen sessiecookies te stelen, medewerkers om te leiden naar phishing-websites of zelfs willekeurige code in de browser van de medewerker uit te voeren, waardoor de systeembeveiliging in gevaar komt.
Organizations using Open Source Point of Sale for their point-of-sale operations, particularly those running versions 1.0.0 through 3.4.2, are at risk. Shared hosting environments where multiple customers share the same server and database are especially vulnerable, as an attacker could potentially exploit the vulnerability through another customer's account.
• php: Examine the database for suspicious JavaScript code stored in the stock_location field. Use a database query to search for <script or javascript: patterns.
SELECT * FROM your_table_name WHERE stock_location LIKE '%<script%'• generic web: Monitor access logs for requests containing unusual or obfuscated JavaScript code in the stock_location parameter. Look for POST requests to the stock location configuration endpoint.
grep 'stock_location=[^&]*<script[^>]*>' /var/log/apache2/access.log• generic web: Check response headers for signs of XSS, such as the presence of unexpected JavaScript code in the HTML content.
disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De oplossing om CVE-2026-39380 te mitigeren is het bijwerken van Open Source Point of Sale naar versie 3.4.3 of hoger. Deze versie bevat een fix die de gebruikersinvoer in de stock_location-parameter correct sanitizeert, waardoor de injectie van kwaadaardige JavaScript-code wordt voorkomen. Naast de update wordt aanbevolen om robuuste beveiligingsmaatregelen te implementeren, zoals server-side inputvalidatie, het gebruik van een Content Security Policy (CSP) om de bronnen van scripts die kunnen worden uitgevoerd te beperken, en het trainen van medewerkers in beveiligingsbest practices om social engineering-aanvallen te voorkomen. Regelmatige beveiligingsaudits kunnen helpen bij het identificeren en aanpakken van andere potentiële kwetsbaarheden.
Actualice a la versión 3.4.3 o superior para mitigar la vulnerabilidad de XSS. La actualización corrige la falta de sanitización de la entrada del usuario en el parámetro 'stock_location', previniendo la inyección de código JavaScript malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Stored XSS treedt op wanneer een aanvaller kwaadaardige code in een database injecteert die vervolgens aan andere gebruikers wordt aangeboden. Het is bijzonder gevaarlijk omdat de code wordt uitgevoerd in de context van de gebruiker.
Als u een versie vóór 3.4.3 van Open Source Point of Sale gebruikt, bent u waarschijnlijk kwetsbaar. Voer een penetratietest uit of raadpleeg een beveiligingsprofessional om dit te bevestigen.
Wijzig onmiddellijk alle gebruikerswachtwoorden, bekijk de systeemlogboeken op verdachte activiteiten en overweeg om te herstellen van een schone back-up.
Er zijn verschillende vulnerability scanning tools die XSS kunnen detecteren, zowel geautomatiseerd als handmatig. Enkele populaire tools zijn OWASP ZAP en Burp Suite.
Een CSP is een extra beveiligingslaag die ontwikkelaars in staat stelt om de bronnen te controleren die de browser kan laden, waardoor het risico op XSS-aanvallen wordt verminderd.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.