Plataforma
php
Componente
phpgurukul-company-visitor-management-system
Corrigido em
2.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no PHPGurukul Company Visitor Management System, afetando as versões 2.0.0 a 2.0. Essa falha reside na manipulação do argumento 'fromdate' no arquivo /bwdates-reports-details.php, permitindo a injeção de scripts maliciosos. A exploração é possível remotamente e já foi divulgada publicamente, representando um risco para a segurança dos dados.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no navegador de usuários que acessam o PHPGurukul Company Visitor Management System. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou a modificação do conteúdo da página web exibida ao usuário. Em cenários mais graves, um atacante pode usar essa vulnerabilidade para obter acesso não autorizado a dados confidenciais armazenados no sistema, como informações de visitantes e dados de relatórios. A exploração remota simplifica o ataque, tornando-o acessível a uma ampla gama de atacantes.
A vulnerabilidade foi divulgada publicamente em 2026-04-13. Embora a exploração ativa não tenha sido confirmada publicamente, a divulgação pública da vulnerabilidade aumenta o risco de exploração. A pontuação CVSS de 3.5 (LOW) indica um risco relativamente baixo, mas a facilidade de exploração remota exige atenção imediata. Não foi adicionada ao KEV catalog da CISA.
Organizations using PHPGurukul Company Visitor Management System version 2.0.0–2.0, particularly those with publicly accessible instances and inadequate input validation practices, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised user account could be used to exploit the vulnerability and impact other users.
• php / web:
curl -I 'http://your-target-domain.com/bwdates-reports-details.php?fromdate=<script>alert("XSS")</script>' | grep HTTP/1.1• generic web:
grep -i "<script>alert("XSS")</script>" /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para uma versão corrigida do PHPGurukul Company Visitor Management System, assim que disponível. Enquanto a atualização não estiver disponível, implemente validação rigorosa de entrada para o argumento 'fromdate' no arquivo /bwdates-reports-details.php. Utilize uma lista de permissões (whitelist) para garantir que apenas caracteres e formatos esperados sejam aceitos. Além disso, considere a implementação de um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de injeção de script. Monitore os logs do servidor em busca de padrões suspeitos de atividade XSS.
Atualize o sistema PHPGurukul Company Visitor Management System para a última versão disponível para mitigar a vulnerabilidade de XSS. Verifique a documentação do fornecedor para obter instruções específicas de atualização. Implemente medidas de segurança adicionais, como a validação e o saneamento de entradas, para prevenir futuros ataques XSS.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6162 is a cross-site scripting (XSS) vulnerability in PHPGurukul Company Visitor Management System versions 2.0.0–2.0, allowing attackers to inject malicious scripts via the 'fromdate' parameter.
If you are using PHPGurukul Company Visitor Management System version 2.0.0–2.0 and have not applied a patch, you are potentially affected by this vulnerability.
The recommended fix is to upgrade to a patched version of PHPGurukul Company Visitor Management System. Until then, implement input validation and output encoding.
As of the publication date, there is no confirmed evidence of active exploitation, but a proof-of-concept may be available.
Refer to the PHPGurukul website or security advisories for the official advisory regarding CVE-2026-6162.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.