Plataforma
php
Componente
code-projects-online-shoe-store
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Online Shoe Store versão 1.0 (1.0.0–1.0). Essa falha reside na manipulação do argumento 'productname' no arquivo /admin/adminproduct.php, permitindo a injeção de scripts maliciosos. A exploração bem-sucedida pode levar à execução de código arbitrário no contexto do usuário, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade foi divulgada publicamente.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante injete scripts maliciosos no Online Shoe Store. Esses scripts podem ser usados para roubar cookies de sessão, redirecionar usuários para sites maliciosos, ou modificar o conteúdo da página web exibida. Em um cenário de ataque, um atacante poderia criar um link malicioso contendo o script XSS e enviá-lo para um usuário legítimo. Ao clicar no link, o script seria executado no navegador do usuário, permitindo que o atacante roube informações confidenciais ou realize ações em nome do usuário. O impacto pode ser ampliado se o atacante conseguir comprometer a conta de um administrador, permitindo o acesso a dados sensíveis e a modificação da loja online.
A vulnerabilidade foi divulgada publicamente em 2026-04-09. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits ativos. A ausência de uma versão corrigida implica que a exploração é possível e potencialmente em andamento, especialmente considerando a natureza pública da divulgação.
Administrators of Online Shoe Store installations, particularly those using version 1.0.0–1.0, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to the compromise of others.
• php / server:
grep -r "admin_product.php" /var/www/html/• generic web:
curl -I http://your-online-shoe-store.com/admin/admin_product.php?product_name=<script>alert('XSS')</script>• generic web:
grep -A 10 "admin_product.php" /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-5836 é a atualização para uma versão corrigida do Online Shoe Store, que ainda não foi lançada. Enquanto a atualização não estiver disponível, a validação e sanitização rigorosas de todas as entradas de usuário, especialmente o argumento 'product_name', são cruciais. Implemente filtros de entrada para remover ou escapar caracteres potencialmente perigosos. Considere o uso de um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Monitore os logs do servidor em busca de padrões suspeitos, como solicitações com URLs codificadas ou payloads XSS detectados.
Atualize o plugin Online Shoe Store para a última versão disponível, pois esta vulnerabilidade de XSS no arquivo admin_product.php permite a execução de código malicioso. Verifique a fonte do plugin e aplique patches de segurança se necessário. Implemente medidas de validação e escape de entrada para prevenir futuros ataques XSS.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5836 é uma vulnerabilidade de Cross-Site Scripting (XSS) no Online Shoe Store versão 1.0, permitindo a injeção de scripts maliciosos através do argumento 'product_name'.
Se você está utilizando o Online Shoe Store versão 1.0 (1.0.0–1.0), você está potencialmente afetado por esta vulnerabilidade.
A correção oficial ainda não foi lançada. Implemente validação e sanitização rigorosas de entradas de usuário e considere o uso de um WAF como medida temporária.
Não há confirmação de exploração ativa, mas a divulgação pública da vulnerabilidade aumenta o risco de exploração.
Verifique o site oficial do Online Shoe Store ou canais de comunicação do projeto para obter o aviso oficial e informações sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.