Platform
php
Component
student-management-system
Opgelost in
1.0.1
A cross-site scripting (XSS) vulnerability has been identified in Cyber-III Student-Management-System, affecting versions up to 1a938fa61e9f735078e9b291d2e6215b4942af3f. This flaw allows attackers to inject malicious scripts into the application, potentially stealing user data or performing actions on their behalf. Due to the product's rolling release model, specific affected and updated versions are not available. The vendor has been notified and is likely working on a fix.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan een aanvaller in staat stellen om kwaadaardige JavaScript-code uit te voeren in de browsers van gebruikers van Cyber-III Student-Management-System. Dit kan leiden tot verschillende schadelijke gevolgen, waaronder het stelen van sessiecookies, het omleiden van gebruikers naar kwaadaardige websites, het wijzigen van de inhoud van de website en het uitvoeren van acties namens de gebruiker. De impact is verhoogd doordat de exploitatie remote kan plaatsvinden en er een openbaar beschikbare exploit is. Dit maakt de kwetsbaarheid direct misbruikbaar voor kwaadwillenden.
De exploit voor CVE-2026-5644 is openbaar beschikbaar, wat de kans op misbruik aanzienlijk verhoogt. Er is geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar de openbare exploit maakt het een aantrekkelijk doelwit. De kwetsbaarheid is gepubliceerd op 2026-04-06. De CVSS score is 2.4 (LOW).
Educational institutions and organizations utilizing Cyber-III Student-Management-System are at risk, particularly those relying on the system for sensitive student data management. Organizations with legacy configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments where multiple users share the same server resources may also face increased risk due to the potential for cross-tenant exploitation.
• php: Examine the /admin/Add%20notice/batch-notice.php file for insecure handling of the $SERVER['PHPSELF'] variable. Look for missing or inadequate input validation.
grep -r $_SERVER['PHP_SELF'] /var/www/html/admin/Add%20notice/• generic web: Monitor access logs for unusual requests targeting /admin/Add%20notice/batch-notice.php with suspicious parameters.
grep "/admin/Add%20notice/batch-notice.php?" /var/log/apache2/access.log• generic web: Check response headers for signs of injected JavaScript code.
curl -I https://example.com/admin/Add%20notice/batch-notice.php?param=<script>alert(1)</script>disclosure
poc
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
Omdat Cyber-III Student-Management-System rolling releases gebruikt, is een directe upgrade naar een gefixte versie mogelijk niet direct beschikbaar. De primaire mitigatie is het implementeren van inputvalidatie en output encoding op de kwetsbare locatie (/admin/Add%20notice/batch-notice.php). Dit voorkomt dat kwaadaardige code wordt uitgevoerd. Een Web Application Firewall (WAF) kan worden geconfigureerd om XSS-pogingen te detecteren en te blokkeren. Controleer de code op andere potentiële XSS-locaties. Na implementatie van mitigaties, test de applicatie grondig om te bevestigen dat de kwetsbaarheid is verholpen en dat er geen onbedoelde neveneffecten zijn.
Actualiseer het Student-Management-System naar een gecorrigeerde versie. Vanwege de aard van de continue updates, raadpleeg dan de documentatie van de leverancier of neem contact op met de support voor informatie over de gecorrigeerde versies en de update stappen. Het project heeft niet gereageerd op de probleemrapporten, dus het is cruciaal om de updates van de leverancier te monitoren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5644 is a cross-site scripting (XSS) vulnerability affecting Cyber-III Student-Management-System versions up to 1a938fa61e9f735078e9b291d2e6215b4942af3f, allowing attackers to inject malicious scripts.
If you are using Cyber-III Student-Management-System version 1a938fa61e9f735078e9b291d2e6215b4942af3f or earlier, you are potentially affected by this XSS vulnerability.
Due to the rolling release model, a specific patch is not yet available. Mitigate by implementing strict input validation and output encoding, and consider using a WAF.
A public exploit exists, suggesting active scanning and potential attacks are already underway.
Consult the Cyber-III project website and security mailing lists for the latest advisory regarding CVE-2026-5644.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.