Plataforma
php
Componente
student-management-system
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Cyber-III Student-Management-System, afetando versões até 1a938fa61e9f735078e9b291d2e6215b4942af3f. A falha reside em uma função desconhecida do arquivo /admin/Add%20notice/batch-notice.php, onde a manipulação do argumento $SERVER['PHPSELF'] pode levar à execução de scripts maliciosos. Um exploit público já foi divulgado, aumentando o risco de ataques remotos. Devido ao modelo de entrega contínua com lançamentos rolling, detalhes de versões afetadas ou atualizadas não estão disponíveis.
Um atacante pode explorar essa vulnerabilidade XSS para injetar scripts maliciosos no Cyber-III Student-Management-System. Ao manipular o argumento $SERVER['PHPSELF'] no arquivo /admin/Add%20notice/batch-notice.php, o atacante pode executar código JavaScript arbitrário no navegador de usuários que acessam a página afetada. Isso pode resultar no roubo de cookies de sessão, redirecionamento para sites maliciosos, ou modificação do conteúdo da página, comprometendo a integridade e a confidencialidade dos dados do sistema e dos usuários. A disponibilidade do exploit público aumenta significativamente o risco de exploração em larga escala.
A vulnerabilidade CVE-2026-5644 foi divulgada em 6 de abril de 2026 e um exploit público já está disponível. A probabilidade de exploração é considerada alta devido à facilidade de exploração e à disponibilidade do exploit. Não há informações sobre a inclusão da CVE em listas como KEV ou EPSS no momento desta análise, mas a disponibilidade pública do exploit sugere um risco significativo.
Educational institutions and organizations utilizing Cyber-III Student-Management-System are at risk, particularly those relying on the system for sensitive student data management. Organizations with legacy configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments where multiple users share the same server resources may also face increased risk due to the potential for cross-tenant exploitation.
• php: Examine the /admin/Add%20notice/batch-notice.php file for insecure handling of the $SERVER['PHPSELF'] variable. Look for missing or inadequate input validation.
grep -r $_SERVER['PHP_SELF'] /var/www/html/admin/Add%20notice/• generic web: Monitor access logs for unusual requests targeting /admin/Add%20notice/batch-notice.php with suspicious parameters.
grep "/admin/Add%20notice/batch-notice.php?" /var/log/apache2/access.log• generic web: Check response headers for signs of injected JavaScript code.
curl -I https://example.com/admin/Add%20notice/batch-notice.php?param=<script>alert(1)</script>disclosure
poc
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
Como o Cyber-III Student-Management-System utiliza um modelo de entrega contínua, a aplicação imediata de um patch específico pode não ser possível. A mitigação inicial deve focar em medidas preventivas. Implemente um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Monitore os logs do servidor e da aplicação em busca de atividades suspeitas, como solicitações com parâmetros inesperados ou erros relacionados à execução de scripts. Considere a implementação de políticas de Content Security Policy (CSP) para restringir as fontes de scripts que podem ser executados na página. A análise regular do código-fonte também pode ajudar a identificar e corrigir outras vulnerabilidades.
Atualize o Student-Management-System para uma versão corrigida. Devido à natureza das atualizações contínuas, consulte a documentação do fornecedor ou entre em contato com o suporte para obter informações sobre as versões corrigidas e os passos de atualização. O projeto não respondeu aos relatórios de problemas, sendo crucial monitorar as atualizações do fornecedor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5644 is a cross-site scripting (XSS) vulnerability affecting Cyber-III Student-Management-System versions up to 1a938fa61e9f735078e9b291d2e6215b4942af3f, allowing attackers to inject malicious scripts.
If you are using Cyber-III Student-Management-System version 1a938fa61e9f735078e9b291d2e6215b4942af3f or earlier, you are potentially affected by this XSS vulnerability.
Due to the rolling release model, a specific patch is not yet available. Mitigate by implementing strict input validation and output encoding, and consider using a WAF.
A public exploit exists, suggesting active scanning and potential attacks are already underway.
Consult the Cyber-III project website and security mailing lists for the latest advisory regarding CVE-2026-5644.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.