Platform
php
Component
code-projects-online-shoe-store
Opgelost in
1.0.1
CVE-2026-5835 beschrijft een cross-site scripting (XSS) kwetsbaarheid in code-projects Online Shoe Store. Deze kwetsbaarheid stelt een aanvaller in staat om schadelijke scripts uit te voeren in de context van een andere gebruiker. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0 van de software en kan op afstand worden misbruikt. Een patch is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan een aanvaller in staat stellen om kwaadaardige scripts uit te voeren in de browsers van gebruikers die de Online Shoe Store bezoeken. Dit kan leiden tot het stelen van gevoelige informatie, zoals cookies en sessiegegevens, het omleiden van gebruikers naar kwaadaardige websites, of het wijzigen van de inhoud van de website. Omdat de exploitatie op afstand mogelijk is en de exploit al is gepubliceerd, is het risico op misbruik aanzienlijk. De impact kan variëren van het compromitteren van individuele gebruikersaccounts tot het volledig overnemen van de website.
De exploit voor CVE-2026-5835 is publiekelijk beschikbaar, wat het risico op misbruik verhoogt. Er is geen informatie beschikbaar over actieve campagnes die deze kwetsbaarheid misbruiken, maar de publicatie van de exploit maakt het een aantrekkelijk doelwit voor kwaadwillenden. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en is mogelijk ook opgenomen in CISA KEV (Known Exploited Vulnerabilities) catalogus, afhankelijk van de beoordeling van het risico.
Administrators of code-projects Online Shoe Store installations are the primary group at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a successful attack could potentially compromise other websites hosted on the same server. Users with administrative privileges are at the highest risk.
• php / web:
curl -s -X POST "http://your-target-domain.com/admin/admin_football.php" -d "product_name=<script>alert('XSS')</script>" | grep "<script>alert('XSS')</script>"• generic web:
curl -I http://your-target-domain.com/admin/admin_football.php?product_name=<script>alert('XSS')</script>• generic web: Examine access logs for requests to /admin/adminfootball.php containing suspicious characters or patterns in the productname parameter (e.g., <script>, <img src=x onerror=alert('XSS')>, etc.).
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-5835 is het upgraden naar een versie van code-projects Online Shoe Store die de kwetsbaarheid heeft verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de /admin/adminfootball.php endpoint te beschermen tegen kwaadaardige input. Controleer de input van de productname parameter zorgvuldig en valideer deze om ervoor te zorgen dat deze geen schadelijke code bevat. Monitor de website logs op verdachte activiteit, zoals ongebruikelijke URL's of parameters.
Werk de plugin 'code-projects Online Shoe Store' bij naar de laatste beschikbare versie om de XSS-kwetsbaarheid in het bestand admin_football.php te mitigeren. Controleer de officiële bronnen van de plugin voor update-instructies en beveiligingspatches. Implementeer geschikte validatie en escaping voor de gebruikersinvoer 'product_name' om toekomstige XSS-aanvallen te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5835 is a cross-site scripting (XSS) vulnerability in code-projects Online Shoe Store versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the productname parameter in /admin/adminfootball.php.
You are affected if you are running code-projects Online Shoe Store version 1.0.0–1.0 and have not yet applied a patch or implemented mitigating controls.
Upgrade to a patched version of code-projects Online Shoe Store as soon as it is available. Until then, implement a WAF rule and strict input sanitization.
A public proof-of-concept exists, suggesting a potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the code-projects website or security mailing list for the official advisory regarding CVE-2026-5835.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.