SourceCodester Sales and Inventory System Parâmetro GET delete.php cross site scripting
Plataforma
php
Componente
sales-and-inventory-system
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Sales and Inventory System versão 1.0. Essa falha permite que um atacante execute scripts maliciosos no navegador de outros usuários, comprometendo a confidencialidade e integridade dos dados. A vulnerabilidade afeta as versões 1.0.0 a 1.0 e uma correção já foi disponibilizada.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante injete scripts maliciosos na página web visualizada por outros usuários do sistema. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página. O impacto pode ser significativo, especialmente se o sistema for utilizado para processar informações sensíveis, como dados de clientes ou informações financeiras. A exploração pode ser facilitada pela natureza pública do parâmetro ID, tornando-o um alvo fácil para ataques.
Contexto de Exploração
Um Proof of Concept (PoC) para esta vulnerabilidade foi publicado, indicando que a exploração é relativamente simples. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento desta análise, mas a disponibilidade de um PoC aumenta a probabilidade de exploração em ambientes não corrigidos. A publicação ocorreu em 2026-04-08.
Quem Está em Riscotraduzindo…
Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.
Passos de Detecçãotraduzindo…
• php / web:
curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
grep -i 'alert("XSS")' /var/log/apache2/access.logLinha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é a atualização para a versão corrigida do Sales and Inventory System. Enquanto a atualização não for possível, medidas paliativas incluem a implementação de validação e sanitização rigorosas de todos os dados de entrada, especialmente o parâmetro ID no arquivo /delete.php. Utilizar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS também pode ajudar a reduzir o risco. Além disso, a aplicação de políticas de segurança de conteúdo (CSP) pode restringir as fontes de scripts permitidas, diminuindo o impacto potencial de um ataque XSS.
Como corrigir
Atualize o sistema Sales and Inventory System para uma versão corrigida. Verifique a documentação do fornecedor para obter instruções específicas de atualização. Implemente medidas de segurança adicionais, como a validação de entradas e a codificação de saídas, para mitigar o risco de ataques XSS.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2026-5810 — XSS in Sales and Inventory System?
CVE-2026-5810 is a cross-site scripting (XSS) vulnerability in SourceCodester Sales and Inventory System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the /delete.php file.
Am I affected by CVE-2026-5810 in Sales and Inventory System?
If you are using SourceCodester Sales and Inventory System version 1.0.0 or 1.0, you are potentially affected by this XSS vulnerability.
How do I fix CVE-2026-5810 in Sales and Inventory System?
Upgrade to a patched version of SourceCodester Sales and Inventory System as soon as it becomes available. Implement input validation and output encoding as a temporary workaround.
Is CVE-2026-5810 being actively exploited?
An exploit has been published, indicating a high probability of active exploitation. Immediate action is recommended.
Where can I find the official Sales and Inventory System advisory for CVE-2026-5810?
Refer to the SourceCodester website or their official communication channels for the latest advisory regarding CVE-2026-5810.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.