Plataforma
php
Componente
simple-customer-relationship-management-system
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada no Simple Customer Relationship Management System, afetando a versão 1.0. Essa falha reside no processamento do argumento 'Description' no arquivo /create-ticket.php, permitindo a injeção de scripts maliciosos. A exploração remota é possível e a vulnerabilidade já foi divulgada publicamente, representando um risco para a segurança dos dados.
Um atacante pode explorar essa vulnerabilidade de XSS para injetar scripts maliciosos no Simple Customer Relationship Management System. Ao manipular o argumento 'Description' no arquivo /create-ticket.php, o atacante pode executar código JavaScript arbitrário no navegador de usuários que acessam a página afetada. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação de dados no sistema. A exploração bem-sucedida pode comprometer a confidencialidade, integridade e disponibilidade do sistema e dos dados armazenados.
A vulnerabilidade CVE-2026-5325 foi divulgada publicamente em 02 de abril de 2026. A existência de um Proof of Concept (PoC) publicamente disponível aumenta a probabilidade de exploração. A avaliação de risco é considerada moderada, dada a facilidade de exploração e o potencial impacto. Não há informações disponíveis sobre campanhas de exploração ativas no momento desta análise.
Organizations using Simple Customer Relationship Management System version 1.0, particularly those with publicly accessible instances or those handling sensitive customer data, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised account could be used to exploit the vulnerability and impact other users.
• php / web:
curl -I 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep -i 'X-Powered-By'• generic web:
curl -s 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep 'alert("XSS")'disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-5325 é a atualização para uma versão corrigida do Simple Customer Relationship Management System, caso disponível. Enquanto a atualização não estiver disponível, implemente validação rigorosa de entrada para o argumento 'Description', escapando ou sanitizando qualquer entrada do usuário antes de exibi-la na página. Considere a implementação de uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads de XSS. Monitore os logs do sistema em busca de tentativas de injeção de código malicioso.
Atualizar para uma versão corrigida do sistema CRM. Contacte o fornecedor para obter um patch ou uma versão atualizada que solucione a vulnerabilidade de Cross-Site Scripting (XSS) no arquivo create-ticket.php.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5325 is a cross-site scripting (XSS) vulnerability in Simple Customer Relationship Management System version 1.0, allowing attackers to inject malicious scripts via the Description field in /create-ticket.php.
You are affected if you are using Simple Customer Relationship Management System version 1.0 and have not applied a patch or implemented mitigating controls.
Upgrade to a patched version of Simple Customer Relationship Management System. If a patch is unavailable, implement input validation and output encoding, and consider a WAF.
While no confirmed exploitation campaigns are currently known, the vulnerability is publicly disclosed, increasing the likelihood of exploitation.
Refer to the SourceCodester website or relevant security forums for updates and advisories regarding CVE-2026-5325.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.