Plataforma
php
Componente
student-management-system
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada no Student-Management-System, afetando versões até 1a938fa61e9f735078e9b291d2e6215b4942af3f. Essa falha reside na manipulação do argumento $SERVER['PHPSELF'] no arquivo /admin/Add%20notice/notice.php, permitindo a injeção de scripts maliciosos. Devido à abordagem de lançamento contínuo do projeto, detalhes de versão específicos para as versões afetadas e corrigidas não estão disponíveis, mas a correção está em desenvolvimento.
Um atacante pode explorar essa vulnerabilidade para injetar scripts maliciosos no Student-Management-System. Ao manipular o argumento $SERVER['PHPSELF'], o atacante pode executar código JavaScript arbitrário no navegador de usuários que acessam a página afetada. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou modificação do conteúdo da página, comprometendo a integridade e confidencialidade dos dados do sistema e dos usuários. A disponibilidade do exploit público aumenta o risco de exploração.
A vulnerabilidade CVE-2026-5643 é considerada de baixa severidade (CVSS 2.4). A existência de um Proof of Concept (PoC) público indica que a exploração é viável. O projeto utiliza um modelo de lançamento contínuo, o que significa que as correções são implementadas de forma incremental. A data de publicação (2026-04-06) indica que a vulnerabilidade foi recentemente divulgada, aumentando a probabilidade de exploração em breve.
Administrators and users with access to the /admin/Add%20notice/notice.php endpoint are at the highest risk. Shared hosting environments running Cyber-III Student-Management-System are particularly vulnerable, as they may lack the ability to quickly apply security updates or implement custom mitigations.
• php: Examine access logs for requests to /admin/Add%20notice/notice.php with unusual or suspicious values in the $SERVER['PHPSELF'] parameter. Look for patterns indicative of XSS payloads (e.g., <script>, javascript:, onerror=).
grep "/admin/Add%20notice/notice.php.*$_SERVER['PHP_SELF']=[^a-zA-Z0-9]" /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
Como o Student-Management-System adota um modelo de lançamento contínuo, a aplicação imediata de um patch específico pode não ser possível. A mitigação inicial deve focar na validação rigorosa de todas as entradas de usuário, especialmente aquelas relacionadas a parâmetros de URL. Implementar uma WAF (Web Application Firewall) com regras para detectar e bloquear payloads XSS comuns pode ajudar a reduzir o risco. Além disso, a codificação adequada da saída (output encoding) é crucial para garantir que os dados sejam exibidos de forma segura, evitando a execução de scripts maliciosos. Monitore os logs do servidor em busca de atividades suspeitas.
Atualize o Student-Management-System para uma versão corrigida. Devido ao fato de o projeto utilizar um modelo de lançamento contínuo, consulte a documentação do projeto ou entre em contato com o fornecedor para obter informações sobre as versões afetadas e as atualizações disponíveis. Implemente uma validação e saneamento adequados da entrada do usuário para prevenir ataques XSS.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5643 is a cross-site scripting (XSS) vulnerability affecting Cyber-III Student-Management-System versions up to 1a938fa61e9f735078e9b291d2e6215b4942af3f. It allows attackers to inject malicious scripts.
If you are using Cyber-III Student-Management-System version 1a938fa61e9f735078e9b291d2e6215b4942af3f or earlier, you are potentially affected by this vulnerability.
Due to the rolling release model, a specific patched version is not immediately available. Apply the latest updates as they are released and implement input validation and output encoding as a temporary mitigation.
While no active campaigns have been publicly reported, the availability of a public proof-of-concept increases the risk of exploitation.
Refer to the project's official channels for updates and advisories regarding CVE-2026-5643.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.