Platform
php
Component
hajimi
Opgelost in
1.0.1
CVE-2026-5106 beschrijft een cross-site scripting (XSS) kwetsbaarheid in Exam Form Submission versie 1.0. Deze kwetsbaarheid, met een CVSS score van 2.4, bevindt zich in een onbekende functie. Misbruik kan leiden tot remote code execution. Er is momenteel geen officiële fix beschikbaar voor deze kwetsbaarheid.
CVE-2026-5106 heeft invloed op 'Exam Form Submission' versie 1.0, specifiek een onbekende functie binnen het bestand /admin/update_fst.php. De kwetsbaarheid ligt in de manipulatie van het argument 'sname', wat leidt tot een Cross-Site Scripting (XSS) kwetsbaarheid. Dit betekent dat een aanvaller kwaadaardige code in de applicatie kan injecteren, die vervolgens in de browser van andere gebruikers wordt uitgevoerd, waardoor ze gevoelige informatie kunnen stelen, gebruikers kunnen nadoen of hen naar kwaadaardige websites kunnen omleiden. Het risico is hoog omdat de exploitatie op afstand kan plaatsvinden en een exploit is gepubliceerd, wat het gebruik ervan door aanvallers vergemakkelijkt. Het ontbreken van een beschikbare oplossing verergert de situatie en vereist onmiddellijke aandacht.
CVE-2026-5106 wordt misbruikt door de manipulatie van de parameter 'sname' in /admin/update_fst.php. Een aanvaller kan een kwaadaardig HTTP-verzoek naar dit bestand sturen en JavaScript-code injecteren binnen de waarde van 'sname'. Vanwege het ontbreken van een juiste validatie of ontsnapping van deze parameter wordt de geïnjecteerde code opgeslagen en uitgevoerd wanneer een andere gebruiker de pagina bezoekt die gegevens weergeeft die betrekking hebben op 'sname'. De publicatie van een publieke exploit betekent dat aanvallers een stapsgewijze handleiding hebben om de aanval uit te voeren, waardoor het risico op exploitatie aanzienlijk toeneemt. De remote aard van de kwetsbaarheid betekent dat deze kan worden misbruikt vanaf elke locatie met toegang tot de applicatie.
Administrators and users with access to the /admin/update_fst.php endpoint are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• php / web:
grep -r 'sname' /var/www/exam_form_submission/admin/update_fst.php• generic web:
curl -I http://your-exam-form-submission-url.com/admin/update_fst.php?sname=<script>alert(1)</script>• generic web: Examine access logs for requests to /admin/update_fst.php containing suspicious characters in the 'sname' parameter (e.g., <script>, <img src=x onerror=alert(1)>).
disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix (fix: none) is verstrekt, richt de onmiddellijke mitigatie zich op preventieve maatregelen. Het wordt ten zeerste aanbevolen om de getroffen functionaliteit in /admin/update_fst.php tijdelijk uit te schakelen totdat een oplossing is geïmplementeerd. Bovendien is het cruciaal om een robuuste invoerfilter te implementeren voor het argument 'sname', waarbij potentieel gevaarlijke tekens worden gevalideerd en ontsnapt. Het actief monitoren van serverlogboeken op verdachte activiteiten met betrekking tot de manipulatie van 'sname' is essentieel. Overweeg het gebruik van een Web Application Firewall (WAF) om XSS-aanvallen te detecteren en te blokkeren. Zorg er ten slotte voor dat de serversoftware en alle afhankelijkheden up-to-date worden gehouden om andere kwetsbaarheden te beperken die mogelijk in combinatie kunnen worden misbruikt.
Update naar een gepatchte versie of pas de nodige beveiligingsmaatregelen toe om de uitvoering van XSS-code te voorkomen. Valideer en zuiver de gebruikersinvoer, met name de parameter 'sname' in het bestand '/admin/update_fst.php'.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Het geeft aan dat er momenteel geen officiële oplossing of patch is verstrekt door de ontwikkelaar voor deze kwetsbaarheid.
Als u 'Exam Form Submission' versie 1.0 gebruikt, is de kans groot dat u getroffen bent. Controleer de serverlogboeken op verdachte activiteiten en voer penetratietests uit.
Een WAF (Web Application Firewall) is een beveiligingstool die webapplicaties beschermt tegen veelvoorkomende aanvallen, zoals XSS en SQL-injectie.
Isoleer het getroffen systeem, wijzig alle gebruikerswachtwoorden en voer een uitgebreid beveiligingsaudit uit.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.