Platform
php
Component
student-management-system
Opgelost in
1.0.1
Een cross-site scripting (XSS) kwetsbaarheid is ontdekt in Cyber-III Student-Management-System, versie 1a938fa61e9f735078e9b291d2e6215b4942af3f of lager. Deze kwetsbaarheid bevindt zich in het bestand /admin/Add%20notice/notice.php en maakt misbruik van de $SERVER['PHPSELF'] parameter. Het is mogelijk om deze kwetsbaarheid op afstand uit te buiten, wat kan leiden tot het injecteren van kwaadaardige scripts in de webapplicatie. Het project hanteert een rolling release model, waardoor specifieke versie-informatie voor de kwetsbare en verbeterde versies niet beschikbaar is.
Een succesvolle aanval kan een aanvaller in staat stellen om kwaadaardige JavaScript-code uit te voeren in de context van een geauthenticeerde gebruiker van het Student-Management-System. Dit kan leiden tot het stelen van sessiecookies, het omleiden van gebruikers naar kwaadaardige websites, of het wijzigen van de inhoud van de webpagina. De impact is verhoogd omdat de kwetsbaarheid op afstand kan worden uitgebuit en er een publiek beschikbare exploit is. Dit soort XSS-aanvallen kunnen worden gebruikt om gevoelige informatie te stelen of om de functionaliteit van de applicatie te compromitteren, wat resulteert in een verlies van integriteit en vertrouwelijkheid.
De kwetsbaarheid is publiekelijk bekend gemaakt en er is een publiek beschikbare proof-of-concept (POC) beschikbaar. Dit verhoogt de kans op uitbuiting aanzienlijk. Er is geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de beschikbaarheid van een POC maakt het een aantrekkelijk doelwit voor kwaadwillenden. De kwetsbaarheid is gepubliceerd op 6 april 2026.
Administrators and users with access to the /admin/Add%20notice/notice.php endpoint are at the highest risk. Shared hosting environments running Cyber-III Student-Management-System are particularly vulnerable, as they may lack the ability to quickly apply security updates or implement custom mitigations.
• php: Examine access logs for requests to /admin/Add%20notice/notice.php with unusual or suspicious values in the $SERVER['PHPSELF'] parameter. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:, onerror=).
grep "/admin/Add%20notice/notice.php.*$_SERVER['PHP_SELF']=[^a-zA-Z0-9]" /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
Aangezien Cyber-III Student-Management-System een rolling release model gebruikt, is het direct updaten naar een specifieke 'fixed' versie niet mogelijk. De aanbevolen mitigatie is om de applicatie te updaten naar de meest recente versie die beschikbaar is. Naast het updaten, kan het implementeren van een Web Application Firewall (WAF) met regels die XSS-aanvallen detecteren en blokkeren, de risico's aanzienlijk verminderen. Zorg ervoor dat alle invoer van gebruikers grondig wordt gevalideerd en ontsmet om te voorkomen dat kwaadaardige code wordt uitgevoerd. Controleer de configuratie van de applicatie op mogelijke instellingen die de kwetsbaarheid kunnen verergeren.
Actualiseer het Student-Management-System naar een gecorrigeerde versie. Omdat het project een continuous release model gebruikt, raadpleeg dan de documentatie van het project of neem contact op met de leverancier voor informatie over getroffen versies en beschikbare updates. Implementeer een adequate validatie en sanitatie van gebruikersinvoer om XSS-aanvallen te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5643 is a cross-site scripting (XSS) vulnerability affecting Cyber-III Student-Management-System versions up to 1a938fa61e9f735078e9b291d2e6215b4942af3f. It allows attackers to inject malicious scripts.
If you are using Cyber-III Student-Management-System version 1a938fa61e9f735078e9b291d2e6215b4942af3f or earlier, you are potentially affected by this vulnerability.
Due to the rolling release model, a specific patched version is not immediately available. Apply the latest updates as they are released and implement input validation and output encoding as a temporary mitigation.
While no active campaigns have been publicly reported, the availability of a public proof-of-concept increases the risk of exploitation.
Refer to the project's official channels for updates and advisories regarding CVE-2026-5643.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.