Platform
php
Component
code-projects-vehicle-showroom-management-system
Opgelost in
1.0.1
Een Cross-Site Scripting (XSS) kwetsbaarheid is ontdekt in de Vehicle Showroom Management System, specifiek in versie 1.0.0 tot en met 1.0. Deze kwetsbaarheid stelt een aanvaller in staat om schadelijke scripts uit te voeren in de browser van een andere gebruiker. De kwetsbaarheid bevindt zich in het bestand /BranchManagement/ServiceAndSalesReport.php en is te wijten aan het manipuleren van de BRANCH_ID parameter. De kwetsbaarheid is openbaar bekendgemaakt en kan actief worden misbruikt.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het stelen van gevoelige informatie, zoals gebruikersnamen, wachtwoorden en sessiecookies. Een aanvaller kan ook schadelijke scripts injecteren die de gebruikersinterface van de applicatie manipuleren, gebruikers omleiden naar kwaadaardige websites of zelfs de controle over de applicatie overnemen. De impact is vergelijkbaar met andere XSS kwetsbaarheden, waarbij de aanvaller de vertrouwensband met de gebruiker kan misbruiken om kwaadwillende acties uit te voeren. De kwetsbaarheid maakt het mogelijk om scripts uit te voeren in de context van de gebruiker, waardoor de aanvaller toegang kan krijgen tot data en functionaliteit die anders niet beschikbaar zou zijn.
Deze kwetsbaarheid is openbaar bekendgemaakt op 2026-04-10 en er is een public proof-of-concept beschikbaar. Het is waarschijnlijk dat deze kwetsbaarheid actief wordt misbruikt door aanvallers. Er is geen informatie beschikbaar over de toevoeging aan de CISA KEV catalogus of actieve campagnes die specifiek deze kwetsbaarheid targeten.
Organizations using the Vehicle Showroom Management System, particularly those with publicly accessible instances or those handling sensitive customer data, are at risk. Users who interact with the application and are not properly authenticated are also vulnerable to exploitation.
• generic web:
curl -I 'https://example.com/BranchManagement/ServiceAndSalesReport.php?BRANCH_ID=<script>alert(1)</script>' | grep -i 'content-type: text/html'• generic web:
curl 'https://example.com/BranchManagement/ServiceAndSalesReport.php?BRANCH_ID=<script>alert(1)</script>' | grep -o '<script.*?>.*?</script>'disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van de Vehicle Showroom Management System zodra deze beschikbaar is. Totdat een upgrade mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om de BRANCH_ID parameter te filteren en schadelijke input te blokkeren. Zorg ervoor dat alle input validatie correct wordt uitgevoerd om te voorkomen dat schadelijke scripts worden geïnjecteerd. Implementeer Content Security Policy (CSP) om de bronnen te beperken waar scripts van geladen mogen worden. Controleer de code op andere potentiële XSS kwetsbaarheden.
Werk het Vehicle Showroom Management System bij naar een gecorrigeerde versie. Controleer de broncode van het bestand /BranchManagement/ServiceAndSalesReport.php om de XSS-kwetsbaarheid te identificeren en te corrigeren. Implementeer een adequate validatie en codering van gebruikersinvoer om XSS-aanvallen te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-6035 is a cross-site scripting (XSS) vulnerability in Vehicle Showroom Management System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the BRANCH_ID parameter.
If you are using Vehicle Showroom Management System version 1.0.0–1.0, you are potentially affected by this vulnerability. Check your version and apply the recommended fix.
Upgrade to a patched version of Vehicle Showroom Management System as soon as it's available. Until then, implement input validation and output encoding to mitigate the risk.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the official Vehicle Showroom Management System website or security channels for the latest advisory and patch information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.