Plataforma
php
Componente
online-shoe-store
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada no Online Shoe Store versão 1.0.0 a 1.0. Esta falha permite a injeção de scripts maliciosos através da manipulação do parâmetro 'productname' no arquivo /admin/adminrunning.php, potencialmente comprometendo a integridade e confidencialidade dos dados. A exploração é possível remotamente e já foi tornada pública.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no contexto do navegador de um usuário autenticado. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou a modificação da interface do usuário para enganar o usuário e coletar informações sensíveis, como credenciais de login. Em um cenário de ataque, um atacante poderia injetar um script que rouba as credenciais de administradores, permitindo acesso não autorizado à loja online e manipulação de dados de clientes e produtos. A severidade é classificada como baixa, mas o impacto pode ser significativo dependendo do nível de acesso obtido.
A vulnerabilidade foi divulgada publicamente em 2026-04-09 e um Proof of Concept (PoC) já está disponível, indicando um risco de exploração ativo. Não há informações sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A probabilidade de exploração é considerada média devido à disponibilidade pública do PoC e à facilidade de exploração.
Administrators of Online Shoe Store installations, particularly those running versions 1.0.0 through 1.0, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromised user could potentially exploit this vulnerability to affect other users on the same server.
• php / web:
grep -r "product_name = $_GET['product_name']" /var/www/html/admin/admin_running.php• generic web:
curl -I https://your-online-shoe-store.com/admin/admin_running.php?product_name=<script>alert('XSS')</script>disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a validação e sanitização rigorosas de todas as entradas de usuário, especialmente o parâmetro 'productname' no arquivo /admin/adminrunning.php. Implementar um filtro de entrada robusto que remova ou escape caracteres potencialmente perigosos é crucial. Considere a implementação de uma Web Application Firewall (WAF) com regras específicas para detectar e bloquear payloads XSS. A solução definitiva é atualizar para uma versão corrigida do Online Shoe Store, assim que disponível. Após a implementação das medidas de mitigação, verifique a funcionalidade do sistema e realize testes de penetração para confirmar a ausência de vulnerabilidades.
Atualize o plugin Online Shoe Store para a última versão disponível, pois esta versão corrige a vulnerabilidade de Cross-Site Scripting (XSS) no arquivo admin_running.php. Verifique a fonte do plugin para obter instruções de atualização ou entre em contato com o desenvolvedor para obter suporte.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5834 is a cross-site scripting (XSS) vulnerability affecting Online Shoe Store versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the product_name parameter.
If you are running Online Shoe Store version 1.0.0 through 1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as it becomes available.
The recommended fix is to upgrade to a patched version of Online Shoe Store. Contact the vendor for an updated release. Implement input validation and output encoding as an interim measure.
While there is no confirmed active exploitation, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the Online Shoe Store vendor's website or security advisory page for the official advisory regarding CVE-2026-5834.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.