Plataforma
php
Componente
hajimi
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Exam Form Submission versão 1.0. Essa falha reside em uma função desconhecida dentro do arquivo /admin/update_fst.php e permite a execução de scripts maliciosos através da manipulação do argumento 'sname'. A exploração é possível remotamente e um Proof of Concept (PoC) já foi publicado, aumentando o risco de exploração.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante injete scripts maliciosos no site Exam Form Submission. Esses scripts podem ser executados no navegador de usuários que acessam a página comprometida, permitindo que o atacante roube cookies de sessão, redirecione usuários para sites maliciosos, ou modifique o conteúdo da página. O impacto pode variar dependendo do contexto da aplicação e das permissões do usuário afetado, mas em cenários mais graves, pode levar ao comprometimento completo da conta do usuário ou até mesmo à execução de código no servidor subjacente, dependendo da configuração e das permissões do arquivo.
Um Proof of Concept (PoC) para esta vulnerabilidade foi publicado, indicando que a exploração é relativamente simples e acessível. A vulnerabilidade foi adicionada ao NVD em 2026-03-30. A probabilidade de exploração é considerada baixa devido à sua complexidade, mas a disponibilidade do PoC aumenta o risco. Não há informações sobre campanhas ativas de exploração no momento.
Administrators and users with access to the /admin/update_fst.php endpoint are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• php / web:
grep -r 'sname' /var/www/exam_form_submission/admin/update_fst.php• generic web:
curl -I http://your-exam-form-submission-url.com/admin/update_fst.php?sname=<script>alert(1)</script>• generic web: Examine access logs for requests to /admin/update_fst.php containing suspicious characters in the 'sname' parameter (e.g., <script>, <img src=x onerror=alert(1)>).
disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para uma versão corrigida do Exam Form Submission. Como a versão corrigida não está especificada, medidas alternativas incluem a validação e sanitização rigorosas de todas as entradas de usuário, especialmente o argumento 'sname'. Implementar uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns pode fornecer uma camada adicional de proteção. Além disso, desabilitar a execução de scripts em arquivos não confiáveis pode reduzir o risco de exploração.
Atualizar para uma versão corrigida ou aplicar as medidas de segurança necessárias para evitar a injeção de código malicioso através do parâmetro 'sname' no arquivo '/admin/update_fst.php'. Validar e limpar as entradas do usuário para prevenir ataques de Cross-Site Scripting (XSS).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5106 is a cross-site scripting (XSS) vulnerability in Exam Form Submission version 1.0, affecting the /admin/update_fst.php file. Exploitation involves manipulating the 'sname' argument to inject malicious scripts.
If you are using Exam Form Submission version 1.0 and have not applied a fix, you are potentially vulnerable. Administrators and users accessing /admin/update_fst.php are at highest risk.
A direct fix is pending. Mitigate by implementing strict input validation on the 'sname' parameter and robust output encoding. Consider a WAF to block XSS attempts.
While no active campaigns are confirmed, a public exploit is available, increasing the likelihood of exploitation.
Refer to the code-projects website or relevant security mailing lists for updates and advisories regarding CVE-2026-5106.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.