Platform
php
Component
vehicle-showroom-management-system
Opgelost in
1.0.1
CVE-2026-6034 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in de Vehicle Showroom Management System, versie 1.0.0 tot en met 1.0. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige scripts uit te voeren in de browser van een gebruiker. De kwetsbaarheid bevindt zich in het bestand /BranchManagement/ProfitAndLossReport.php en kan op afstand worden misbruikt. Een public exploit is reeds beschikbaar.
Een succesvolle exploitatie van deze XSS kwetsbaarheid stelt een aanvaller in staat om kwaadaardige JavaScript code uit te voeren in de context van de gecompromitteerde gebruiker. Dit kan leiden tot het stelen van sessiecookies, het omleiden van gebruikers naar kwaadaardige websites, of het wijzigen van de inhoud van de webpagina. De impact kan variëren afhankelijk van de privileges van de gecompromitteerde gebruiker en de gevoeligheid van de data die via de applicatie wordt verwerkt. Het feit dat een public exploit beschikbaar is, verhoogt de urgentie om deze kwetsbaarheid te patchen.
Deze kwetsbaarheid is openbaar bekend en er is een public proof-of-concept beschikbaar, wat de kans op exploitatie aanzienlijk verhoogt. Er is geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar de beschikbaarheid van een exploit maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is gepubliceerd op 2026-04-10.
Organizations utilizing the Vehicle Showroom Management System, particularly those with publicly accessible instances, are at risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.
• php / generic web:
curl -s -X POST "http://<target>/BranchManagement/ProfitAndLossReport.php?BRANCH_ID=<script>alert(1)</script>" | grep "<script>alert(1)</script>"• generic web:
curl -I http://<target>/BranchManagement/ProfitAndLossReport.php?BRANCH_ID=<script>alert(1)</script>• generic web:
grep -i "<script>" /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van de Vehicle Showroom Management System. Indien een upgrade momenteel niet mogelijk is, kan inputvalidatie op de BRANCH_ID parameter in /BranchManagement/ProfitAndLossReport.php helpen om de kwetsbaarheid te beperken. Implementeer strikte sanitatie en escaping van alle gebruikersinvoer om te voorkomen dat kwaadaardige scripts worden uitgevoerd. Het gebruik van een Web Application Firewall (WAF) met XSS-detectie en -preventie regels kan ook een extra beveiligingslaag bieden.
Werk het Vehicle Showroom Management System bij naar de laatste beschikbare versie om de XSS-kwetsbaarheid te mitigeren. Controleer en valideer gebruikersinvoer, met name de BRANCH_ID parameter, om de injectie van kwaadaardige code te voorkomen. Implementeer output-encoding maatregelen om gegevens te escapen voordat ze op de pagina worden weergegeven.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-6034 is a cross-site scripting (XSS) vulnerability in Vehicle Showroom Management System versions 1.0.0–1.0, allowing attackers to inject malicious scripts.
If you are using Vehicle Showroom Management System versions 1.0.0–1.0 and have not upgraded, you are potentially affected by this XSS vulnerability.
Upgrade to a patched version of Vehicle Showroom Management System. As a temporary workaround, implement a WAF rule to filter malicious input targeting the BRANCH_ID parameter.
Due to the availability of a public proof-of-concept, CVE-2026-6034 is likely being actively exploited.
Please refer to the official Vehicle Showroom Management System website or security channels for the advisory related to CVE-2026-6034.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.