Plataforma
php
Componente
simple-laundry-system
Corrigido em
1.0.1
CVE-2026-5825 describes a cross-site scripting (XSS) vulnerability discovered in Simple Laundry System, versions 1.0.0 through 1.0. This flaw allows attackers to inject malicious scripts into the application, potentially stealing user data or performing actions on their behalf. The vulnerability resides within the /delmemberinfo.php file and is triggered by manipulating the userid argument. A public exploit is now available.
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada no sistema Simple Laundry System versão 1.0. Esta vulnerabilidade reside no arquivo /delmemberinfo.php e é explorada através da manipulação do argumento 'userid'. Um atacante remoto pode injetar código malicioso que será executado nos navegadores de outros usuários, permitindo que roubem informações confidenciais, modifiquem o conteúdo da página ou redirecionem os usuários para sites maliciosos. A gravidade desta vulnerabilidade é alta, especialmente considerando que a exploração é pública e facilmente acessível. A falta de uma solução disponível agrava ainda mais o risco para os usuários do sistema Simple Laundry System.
A vulnerabilidade XSS no Simple Laundry System 1.0 é explorada manipulando o parâmetro 'userid' no arquivo /delmemberinfo.php. Um atacante pode construir uma URL maliciosa contendo código JavaScript injetado no valor de 'userid'. Quando um usuário visita esta URL, o código JavaScript é executado no navegador dele. Isso permite que o atacante realize várias ações, como roubar cookies de sessão, redirecionar o usuário para um site de phishing ou exibir mensagens falsas. A natureza remota da exploração significa que um atacante não precisa de acesso direto ao servidor para explorar a vulnerabilidade. A disponibilidade pública do exploit aumenta significativamente o risco de ataques.
Organizations using Simple Laundry System 1.0.0–1.0, particularly those with publicly accessible instances or those lacking robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially affect others.
• php / web: Examine access logs for requests to /delmemberinfo.php containing unusual or suspicious characters in the userid parameter. Use grep to search for patterns indicative of XSS payloads (e.g., <script>, javascript:, onerror=).
grep -i 'script|javascript|onerror' /var/log/apache2/access.log | grep /delmemberinfo.php• generic web: Use curl to test the /delmemberinfo.php endpoint with a simple XSS payload and observe the response for signs of script execution.
curl 'http://example.com/delmemberinfo.php?userid=<script>alert("XSS")</script>' -sdisclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Dado que não existe uma solução oficial fornecida pelo desenvolvedor, a mitigação imediata requer medidas preventivas. Recomenda-se fortemente desabilitar temporariamente o arquivo /delmemberinfo.php até que uma solução segura possa ser implementada. Implementar uma validação e higienização rigorosas de todas as entradas de usuário, especialmente o parâmetro 'userid', é crucial para prevenir futuros ataques XSS. Utilize uma biblioteca de escape XSS confiável para codificar a saída antes de exibi-la na página web. Além disso, recomenda-se monitorar ativamente os registros do servidor em busca de atividades suspeitas. Considere atualizar para uma versão mais segura do sistema Simple Laundry System, se estiver disponível no futuro.
Actualice el sistema Simple Laundry System a la última versión disponible para mitigar la vulnerabilidad de XSS. Revise y sanee la entrada del usuario 'userid' antes de usarla en cualquier contexto que pueda generar HTML. Implemente medidas de seguridad adicionales, como la codificación de salida, para prevenir ataques XSS.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas web visualizadas por outros usuários.
Realize testes de penetração em seu site ou use ferramentas de varredura de vulnerabilidades para identificar possíveis vulnerabilidades XSS.
Isole o sistema afetado, altere as senhas de todos os usuários e realize uma auditoria de segurança completa.
Existem várias bibliotecas e frameworks que podem ajudar a prevenir XSS, como OWASP ESAPI e DOMPurify.
Significa que o código ou as instruções para explorar a vulnerabilidade estão disponíveis publicamente, facilitando o uso por atacantes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.