Plataforma
php
Componente
codeigniter
Corrigido em
3.4.4
CVE-2026-39380 describes a Stored Cross-Site Scripting (XSS) vulnerability within the Open Source Point of Sale application, a PHP-based point-of-sale system built on the CodeIgniter framework. This vulnerability allows attackers to inject malicious JavaScript code, which is then stored in the database and executed when the Employees interface is rendered. The vulnerability impacts versions 1.0.0 through 3.4.2, and a fix is available in version 3.4.3.
A vulnerabilidade CVE-2026-39380 no Open Source Point of Sale (POS) representa um risco significativo para a segurança de sistemas de ponto de venda que utilizam este aplicativo. Trata-se de uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado, o que significa que um atacante pode injetar código JavaScript malicioso no banco de dados através do parâmetro stock_location na configuração de locais de estoque. Este código é então armazenado e executado quando a interface de funcionários é renderizada. O impacto potencial inclui roubo de credenciais de funcionários, manipulação de dados sensíveis, redirecionamento de usuários para sites maliciosos e execução de ações em nome dos funcionários, comprometendo a integridade e a confidencialidade das informações do negócio e dos clientes. A pontuação CVSS é 5.4, indicando um risco médio-alto.
Um atacante poderia explorar esta vulnerabilidade injetando código JavaScript malicioso no campo stock_location durante a configuração de um novo local de estoque ou a modificação de um existente. Este código seria armazenado no banco de dados e executado sempre que um funcionário acessasse a interface de funcionários, por exemplo, ao consultar a lista de locais de estoque. A execução do código JavaScript poderia permitir ao atacante roubar cookies de sessão, redirecionar funcionários para sites de phishing ou até mesmo executar código arbitrário no navegador do funcionário, comprometendo a segurança do sistema.
Organizations using Open Source Point of Sale for their point-of-sale operations, particularly those running versions 1.0.0 through 3.4.2, are at risk. Shared hosting environments where multiple customers share the same server and database are especially vulnerable, as an attacker could potentially exploit the vulnerability through another customer's account.
• php: Examine the database for suspicious JavaScript code stored in the stock_location field. Use a database query to search for <script or javascript: patterns.
SELECT * FROM your_table_name WHERE stock_location LIKE '%<script%'• generic web: Monitor access logs for requests containing unusual or obfuscated JavaScript code in the stock_location parameter. Look for POST requests to the stock location configuration endpoint.
grep 'stock_location=[^&]*<script[^>]*>' /var/log/apache2/access.log• generic web: Check response headers for signs of XSS, such as the presence of unexpected JavaScript code in the HTML content.
disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A solução para mitigar a vulnerabilidade CVE-2026-39380 é atualizar o Open Source Point of Sale para a versão 3.4.3 ou superior. Esta versão inclui uma correção que sanitiza corretamente a entrada do usuário no parâmetro stock_location, prevenindo a injeção de código JavaScript malicioso. Além da atualização, recomenda-se implementar práticas de segurança robustas, como validação de entrada no lado do servidor, uso de uma Política de Segurança de Conteúdo (CSP) para restringir as fontes de scripts que podem ser executados e treinamento de funcionários sobre as melhores práticas de segurança para evitar ataques de engenharia social. Auditorias de segurança regulares podem ajudar a identificar e abordar outras possíveis vulnerabilidades.
Actualice a la versión 3.4.3 o superior para mitigar la vulnerabilidad de XSS. La actualización corrige la falta de sanitización de la entrada del usuario en el parámetro 'stock_location', previniendo la inyección de código JavaScript malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS armazenado ocorre quando um atacante injeta código malicioso em um banco de dados que é então servido a outros usuários. É particularmente perigoso porque o código é executado no contexto do usuário.
Se você estiver usando uma versão anterior a 3.4.3 do Open Source Point of Sale, provavelmente estará vulnerável. Realize um teste de penetração ou consulte um profissional de segurança para confirmar.
Altere imediatamente as senhas de todos os usuários, revise os registros do sistema em busca de atividade suspeita e considere a possibilidade de restaurar a partir de um backup limpo.
Existem várias ferramentas de verificação de vulnerabilidades que podem detectar XSS, tanto automatizadas quanto manuais. Algumas ferramentas populares incluem OWASP ZAP e Burp Suite.
Uma CSP é uma camada adicional de segurança que permite aos desenvolvedores controlar os recursos que o navegador pode carregar, reduzindo o risco de ataques XSS.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.