Plataforma
php
Componente
sales-and-inventory-system
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Sales and Inventory System versão 1.0. Essa falha permite que um atacante execute scripts maliciosos no navegador de outros usuários, comprometendo a confidencialidade e integridade dos dados. A vulnerabilidade afeta as versões 1.0.0 a 1.0 e uma correção já foi disponibilizada.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante injete scripts maliciosos na página web visualizada por outros usuários do sistema. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à modificação do conteúdo da página. O impacto pode ser significativo, especialmente se o sistema for utilizado para processar informações sensíveis, como dados de clientes ou informações financeiras. A exploração pode ser facilitada pela natureza pública do parâmetro ID, tornando-o um alvo fácil para ataques.
Um Proof of Concept (PoC) para esta vulnerabilidade foi publicado, indicando que a exploração é relativamente simples. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento desta análise, mas a disponibilidade de um PoC aumenta a probabilidade de exploração em ambientes não corrigidos. A publicação ocorreu em 2026-04-08.
Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.
• php / web:
curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
grep -i 'alert("XSS")' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para a versão corrigida do Sales and Inventory System. Enquanto a atualização não for possível, medidas paliativas incluem a implementação de validação e sanitização rigorosas de todos os dados de entrada, especialmente o parâmetro ID no arquivo /delete.php. Utilizar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS também pode ajudar a reduzir o risco. Além disso, a aplicação de políticas de segurança de conteúdo (CSP) pode restringir as fontes de scripts permitidas, diminuindo o impacto potencial de um ataque XSS.
Atualize o sistema Sales and Inventory System para uma versão corrigida. Verifique a documentação do fornecedor para obter instruções específicas de atualização. Implemente medidas de segurança adicionais, como a validação de entradas e a codificação de saídas, para mitigar o risco de ataques XSS.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5810 is a cross-site scripting (XSS) vulnerability in SourceCodester Sales and Inventory System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the /delete.php file.
If you are using SourceCodester Sales and Inventory System version 1.0.0 or 1.0, you are potentially affected by this XSS vulnerability.
Upgrade to a patched version of SourceCodester Sales and Inventory System as soon as it becomes available. Implement input validation and output encoding as a temporary workaround.
An exploit has been published, indicating a high probability of active exploitation. Immediate action is recommended.
Refer to the SourceCodester website or their official communication channels for the latest advisory regarding CVE-2026-5810.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.