Plataforma
php
Componente
code-projects-online-shoe-store
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no code-projects Online Shoe Store, afetando as versões 1.0.0 a 1.0. Essa falha reside na manipulação do parâmetro 'productname' no arquivo '/admin/adminfootball.php', permitindo a injeção de scripts maliciosos. A exploração bem-sucedida pode resultar em roubo de informações sensíveis e comprometimento da integridade do sistema. Um Proof of Concept (PoC) já foi publicado.
A vulnerabilidade XSS em code-projects Online Shoe Store permite que um atacante execute scripts maliciosos no navegador de usuários que acessam a aplicação. Isso pode levar ao roubo de cookies de sessão, permitindo que o atacante se passe por usuários legítimos e acesse informações confidenciais, como dados de clientes e detalhes de pedidos. Além disso, o atacante pode redirecionar usuários para sites maliciosos, disseminar malware ou realizar outras ações prejudiciais. A exploração remota é possível, ampliando o alcance do ataque.
Um Proof of Concept (PoC) para CVE-2026-5835 foi publicado, indicando que a vulnerabilidade é explorável. A probabilidade de exploração é considerada alta devido à disponibilidade do PoC e à natureza da vulnerabilidade XSS. A vulnerabilidade foi divulgada em 2026-04-09. Não há informações sobre exploração ativa em campanhas direcionadas no momento da redação.
Administrators of code-projects Online Shoe Store installations are the primary group at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a successful attack could potentially compromise other websites hosted on the same server. Users with administrative privileges are at the highest risk.
• php / web:
curl -s -X POST "http://your-target-domain.com/admin/admin_football.php" -d "product_name=<script>alert('XSS')</script>" | grep "<script>alert('XSS')</script>"• generic web:
curl -I http://your-target-domain.com/admin/admin_football.php?product_name=<script>alert('XSS')</script>• generic web: Examine access logs for requests to /admin/adminfootball.php containing suspicious characters or patterns in the productname parameter (e.g., <script>, <img src=x onerror=alert('XSS')>, etc.).
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-5835 é a aplicação imediata de um patch de segurança fornecido pelo desenvolvedor do code-projects Online Shoe Store. Enquanto o patch não estiver disponível, a validação rigorosa de todas as entradas de usuário, especialmente o parâmetro 'product_name', é crucial. Implementar filtros de entrada e escaping de saída pode ajudar a prevenir a injeção de scripts maliciosos. Além disso, a configuração de um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS pode fornecer uma camada adicional de proteção. Monitore logs de acesso e erro em busca de padrões suspeitos.
Atualize o plugin 'code-projects Online Shoe Store' para a última versão disponível para mitigar a vulnerabilidade de XSS no arquivo admin_football.php. Verifique as fontes oficiais do plugin para obter instruções de atualização e patches de segurança. Implemente validação e escape adequados para a entrada do usuário 'product_name' para prevenir futuros ataques XSS.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5835 is a cross-site scripting (XSS) vulnerability in code-projects Online Shoe Store versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the productname parameter in /admin/adminfootball.php.
You are affected if you are running code-projects Online Shoe Store version 1.0.0–1.0 and have not yet applied a patch or implemented mitigating controls.
Upgrade to a patched version of code-projects Online Shoe Store as soon as it is available. Until then, implement a WAF rule and strict input sanitization.
A public proof-of-concept exists, suggesting a potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the code-projects website or security mailing list for the official advisory regarding CVE-2026-5835.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.