Plataforma
php
Componente
submit
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada no Payroll Management System, afetando a versão 1.0. Essa falha permite a injeção de scripts maliciosos através da manipulação do argumento 'page' no arquivo /navbar.php, possibilitando a execução de código arbitrário no contexto do usuário. A vulnerabilidade foi divulgada publicamente e pode ser explorada remotamente.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no navegador de usuários que acessam o Payroll Management System. Isso pode levar ao roubo de informações sensíveis, como credenciais de login, dados pessoais e informações financeiras. Além disso, o atacante pode redirecionar os usuários para sites maliciosos, exibir pop-ups falsos ou modificar o conteúdo da página, comprometendo a integridade do sistema e a confiança dos usuários. O impacto potencial é significativo, especialmente em ambientes onde o Payroll Management System armazena dados confidenciais.
A vulnerabilidade foi divulgada publicamente em 2026-04-02, indicando um risco elevado de exploração. A existência de um Proof of Concept (PoC) público aumenta ainda mais a probabilidade de ataques. Não há informações sobre a inclusão desta vulnerabilidade no KEV (Know Exploited Vulnerabilities) da CISA no momento da redação, mas a divulgação pública e a disponibilidade de um PoC sugerem uma probabilidade de exploração média a alta.
Organizations utilizing itsourcecode Payroll Management System version 1.0, particularly those with publicly accessible instances or those lacking robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same server are also vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.
• generic web: Use curl to test for XSS by injecting <script>alert(1)</script> into the 'page' parameter of /navbar.php. Check the response for the alert box.
curl 'http://your-payroll-system/navbar.php?page=<script>alert(1)</script>' • generic web: Examine access and error logs for suspicious requests targeting /navbar.php with unusual parameters. Look for patterns indicative of XSS attempts.
• php: Review the source code of /navbar.php for inadequate input validation or output encoding of the 'page' parameter. Search for functions like htmlspecialchars or strip_tags that should be used but are missing.
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A mitigação imediata desta vulnerabilidade envolve a aplicação de um Web Application Firewall (WAF) com regras para filtrar entradas de usuário e prevenir a injeção de scripts maliciosos. Como não há uma versão corrigida disponível, a validação e sanitização rigorosas de todos os dados de entrada, especialmente o argumento 'page' em /navbar.php, são cruciais. Implemente uma política de segurança de conteúdo (CSP) para restringir as fontes de scripts que podem ser executados no navegador. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de injeção de código.
Atualizar para uma versão corrigida do sistema de gestão de folha de pagamento. Contactar o fornecedor para obter uma versão corrigida ou aplicar as medidas de segurança necessárias para evitar a execução de código (XSS).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5319 é uma vulnerabilidade de Cross-Site Scripting (XSS) no Payroll Management System versão 1.0, que permite a injeção de scripts maliciosos através da manipulação do argumento 'page' no arquivo /navbar.php.
Se você estiver utilizando o Payroll Management System versão 1.0, você está potencialmente afetado. A validação de entrada e a aplicação de um WAF são essenciais para mitigar o risco.
Como não há uma versão corrigida disponível, a correção envolve a validação e sanitização rigorosas de todos os dados de entrada, a implementação de uma CSP e o uso de um WAF.
A vulnerabilidade foi divulgada publicamente e um PoC está disponível, o que indica um risco elevado de exploração ativa.
Consulte o site oficial do Payroll Management System ou os canais de comunicação da empresa para obter o advisory oficial sobre CVE-2026-5319.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.