Plataforma
php
Componente
code-projects-vehicle-showroom-management-system
Corrigido em
1.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Vehicle Showroom Management System, afetando as versões 1.0.0 a 1.0.0. Essa falha permite que atacantes injetem scripts maliciosos, potencialmente comprometendo a integridade e confidencialidade dos dados dos usuários. A exploração bem-sucedida pode levar à execução de código arbitrário no navegador da vítima. A vulnerabilidade foi divulgada publicamente.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no navegador de um usuário que interage com o Vehicle Showroom Management System. Isso pode resultar no roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo na modificação do conteúdo da página web exibida. Em um cenário de ataque, um atacante poderia criar um link malicioso contendo o script XSS e enviá-lo para um usuário legítimo. Ao clicar no link, o script seria executado, permitindo que o atacante roube informações confidenciais ou realize ações em nome do usuário. A severidade da vulnerabilidade reside na facilidade de exploração e no potencial impacto na confidencialidade e integridade dos dados.
A vulnerabilidade foi divulgada publicamente em 2026-04-10, indicando um risco elevado de exploração. A existência de um Proof of Concept (PoC) público aumenta ainda mais a probabilidade de ataques. Não há informações disponíveis sobre a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) ou sobre campanhas de exploração ativas no momento da publicação.
Organizations using the Vehicle Showroom Management System, particularly those with publicly accessible instances or those handling sensitive customer data, are at risk. Users who interact with the application and are not properly authenticated are also vulnerable to exploitation.
• generic web:
curl -I 'https://example.com/BranchManagement/ServiceAndSalesReport.php?BRANCH_ID=<script>alert(1)</script>' | grep -i 'content-type: text/html'• generic web:
curl 'https://example.com/BranchManagement/ServiceAndSalesReport.php?BRANCH_ID=<script>alert(1)</script>' | grep -o '<script.*?>.*?</script>'disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
Como correção imediata, implemente validação e sanitização rigorosas de todas as entradas de usuário, especialmente o parâmetro BRANCH_ID no arquivo /BranchManagement/ServiceAndSalesReport.php. Utilize funções de escape adequadas para evitar a interpretação do parâmetro como código executável. Considere a implementação de uma Web Application Firewall (WAF) para filtrar solicitações maliciosas. Monitore os logs do servidor em busca de padrões suspeitos de injeção de script. Se uma atualização para uma versão corrigida não estiver disponível imediatamente, a validação de entrada e a implementação de um WAF podem fornecer uma camada adicional de proteção.
Atualize o sistema Vehicle Showroom Management System para uma versão corrigida. Revise o código fonte do arquivo /BranchManagement/ServiceAndSalesReport.php para identificar e corrigir a vulnerabilidade de XSS (Cross-Site Scripting). Implemente uma validação e codificação adequadas da entrada do usuário para prevenir ataques de XSS (Cross-Site Scripting).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6035 is a cross-site scripting (XSS) vulnerability in Vehicle Showroom Management System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the BRANCH_ID parameter.
If you are using Vehicle Showroom Management System version 1.0.0–1.0, you are potentially affected by this vulnerability. Check your version and apply the recommended fix.
Upgrade to a patched version of Vehicle Showroom Management System as soon as it's available. Until then, implement input validation and output encoding to mitigate the risk.
While no active campaigns have been confirmed, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the official Vehicle Showroom Management System website or security channels for the latest advisory and patch information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.