Plataforma
php
Componente
cve-niuzzz
Corrigido em
1.0.1
CVE-2026-4909 descreve uma vulnerabilidade de Cross-Site Scripting (XSS) no Exam Form Submission versão 1.0. A falha permite que um atacante execute scripts maliciosos no navegador de outro usuário, explorando a falta de tratamento adequado da entrada 'sname' no arquivo '/admin/update_s7.php'. A versão afetada é a 1.0. Não há correção oficial disponível.
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada na versão 1.0 do Exam Form Submission, especificamente no arquivo /admin/update_s7.php. Essa falha ocorre devido à manipulação do argumento 'sname', permitindo que atacantes injetem código malicioso no aplicativo. O impacto potencial inclui a execução de scripts maliciosos nos navegadores dos usuários que interagem com o aplicativo, o que pode levar ao roubo de informações confidenciais (como credenciais de login), redirecionamento para sites maliciosos ou modificação do conteúdo da página web. Dado que a exploração é remota e o exploit está publicamente disponível, o risco é alto e requer atenção imediata. A falta de uma solução (fix) disponível agrava a situação, tornando o aplicativo vulnerável a ataques ativos.
A vulnerabilidade XSS no Exam Form Submission 1.0 é explorada manipulando o argumento 'sname' no arquivo /admin/update_s7.php. Um atacante pode injetar código JavaScript malicioso através deste argumento, que é então executado no navegador de qualquer usuário que acesse a página afetada. O fato de o exploit ser público significa que os atacantes já possuem as ferramentas necessárias para explorar esta vulnerabilidade. A natureza remota da exploração facilita o ataque, pois não requer acesso físico ao servidor. A falta de uma solução disponível aumenta significativamente o risco de ataques bem-sucedidos.
Administrators and users of Exam Form Submission version 1.0 are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as an attacker could potentially compromise other applications on the same server through this vulnerability.
• php / web: Examine /admin/update_s7.php for inadequate input validation on the 'sname' parameter. Search access logs for requests containing suspicious JavaScript code in the 'sname' parameter.
grep -i 'script|alert' /var/log/apache2/access.log | grep /admin/update_s7.phpdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
Embora não exista uma solução oficial (fix) fornecida pelo desenvolvedor, medidas de mitigação imediatas são recomendadas. Estas incluem a validação e higienização rigorosas de todas as entradas do usuário, especialmente o argumento 'sname'. A implementação de uma Política de Segurança de Conteúdo (CSP) pode ajudar a prevenir a execução de scripts maliciosos. Além disso, recomenda-se monitorar ativamente o aplicativo em busca de atividades suspeitas e considerar a possibilidade de desativar temporariamente a funcionalidade afetada até que uma solução esteja disponível. A atualização para uma versão posterior do Exam Form Submission, quando estiver disponível, será a solução definitiva. Recomenda-se entrar em contato com o fornecedor do software para obter informações sobre uma possível atualização.
Actualizar el software Exam Form Submission a una versión corregida que mitigue la vulnerabilidad XSS. Aplicar validación y sanitización de entrada en el parámetro 'sname' en el archivo /admin/update_s7.php para evitar la inyección de código malicioso. Considere utilizar funciones de escape específicas para el contexto de salida (HTML, JavaScript, etc.).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é uma vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em sites web legítimos.
Implemente a validação e higienização de entradas, use uma Política de Segurança de Conteúdo (CSP) e mantenha seu software atualizado.
Aplique medidas de mitigação imediatas, monitore seu site em busca de atividades suspeitas e atualize para uma versão segura do software assim que estiver disponível.
Atualmente, não existe uma solução oficial fornecida pelo desenvolvedor. Medidas de mitigação são recomendadas.
Sim, esta vulnerabilidade é grave devido à sua capacidade de ser explorada remotamente, à disponibilidade pública do exploit e à falta de uma solução.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.