Platform
php
Component
sales-and-inventory-system
Opgelost in
1.0.1
CVE-2026-5810 beschrijft een cross-site scripting (XSS) kwetsbaarheid in SourceCodester Sales and Inventory System. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om schadelijke scripts uit te voeren in de browser van een slachtoffer. De kwetsbaarheid treedt op in versie 1.0.0 tot en met 1.0 en is te vinden in het bestand /delete.php. Er is een exploit gepubliceerd, wat het risico verhoogt.
Een succesvolle exploitatie van CVE-2026-5810 kan leiden tot het stelen van sessiecookies, het uitvoeren van acties namens de gebruiker en het wijzigen van de inhoud van de webpagina. De aanvaller kan een slachtoffer naar een kwaadaardige pagina leiden, waardoor schadelijke code wordt uitgevoerd. Dit kan leiden tot verlies van gevoelige informatie, zoals klantgegevens en financiële transacties. De impact is aanzienlijk, aangezien de exploitatie op afstand mogelijk is en er al een publicatie van het exploit beschikbaar is.
De kwetsbaarheid is publiekelijk bekend gemaakt en er is een exploit gepubliceerd, wat de kans op misbruik aanzienlijk verhoogt. De ernst is beoordeeld als LOW (CVSS 3.5). Er zijn geen indicaties van actieve campagnes of vermeldingen op KEV op het moment van publicatie.
Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.
• php / web:
curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
grep -i 'alert("XSS")' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-5810 is het upgraden naar een beveiligde versie van SourceCodester Sales and Inventory System. Indien een upgrade niet direct mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strenge inputvalidatie en output encoding op de /delete.php pagina. Dit kan helpen om de kwetsbaarheid te beperken. Controleer ook of een Web Application Firewall (WAF) kan worden gebruikt om XSS-aanvallen te blokkeren. Na de upgrade, verifieer de fix door te proberen een XSS-payload via de /delete.php pagina in te voeren.
Werk het Sales and Inventory System bij naar een gecorrigeerde versie. Controleer de documentatie van de leverancier voor specifieke update-instructies. Implementeer aanvullende beveiligingsmaatregelen, zoals invoervalidatie en uitvoercodering, om het risico op XSS-aanvallen te beperken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5810 is a cross-site scripting (XSS) vulnerability in SourceCodester Sales and Inventory System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the /delete.php file.
If you are using SourceCodester Sales and Inventory System version 1.0.0 or 1.0, you are potentially affected by this XSS vulnerability.
Upgrade to a patched version of SourceCodester Sales and Inventory System as soon as it becomes available. Implement input validation and output encoding as a temporary workaround.
An exploit has been published, indicating a high probability of active exploitation. Immediate action is recommended.
Refer to the SourceCodester website or their official communication channels for the latest advisory regarding CVE-2026-5810.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.