免费扫描
LOWCVE-2026-6162CVSS 3.5

PHPGurukul Company Visitor Management System bwdates-reports-details.php 跨站脚本漏洞

平台

php

组件

phpgurukul-company-visitor-management-system

修复版本

2.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月
在NVD查看
保存

PHPGurukul Company Visitor Management System 2.0.0–2.0版本存在跨站脚本攻击(XSS)漏洞。该漏洞影响到/bwdates-reports-details.php文件,攻击者可以通过操纵fromdate参数执行恶意脚本。此漏洞已公开披露,可能被恶意利用。建议用户尽快更新到安全版本或采取适当的缓解措施。

影响与攻击场景

该XSS漏洞允许攻击者在受影响的系统中注入恶意脚本。攻击者可以利用此漏洞窃取用户会话cookie,冒充合法用户执行操作,甚至完全控制受影响的应用程序。攻击者可以通过构造恶意的fromdate参数,将恶意脚本注入到/bwdates-reports-details.php页面,当用户访问该页面时,恶意脚本将在用户的浏览器中执行。由于该漏洞可以远程利用,攻击者无需访问服务器即可进行攻击。

利用背景

该漏洞已公开披露,存在被恶意利用的风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞被记录在NVD中,CISA尚未将其添加到KEV目录。

哪些人处于风险中翻译中…

Organizations using PHPGurukul Company Visitor Management System version 2.0.0–2.0, particularly those with publicly accessible instances and inadequate input validation practices, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised user account could be used to exploit the vulnerability and impact other users.

检测步骤翻译中…

• php / web:

curl -I 'http://your-target-domain.com/bwdates-reports-details.php?fromdate=<script>alert("XSS")</script>' | grep HTTP/1.1

• generic web:

 grep -i "<script>alert("XSS")</script>" /var/log/apache2/access.log

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况poc
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R3.5LOWAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionRequired是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityNone敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
无 — 无机密性影响。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件phpgurukul-company-visitor-management-system
供应商PHPGurukul
影响范围修复版本
2.0 – 2.02.0.1

弱点分类 (CWE)

CWE-79CWE-94

时间线

  1. 已保留
  2. 发布日期
  3. EPSS 更新日期
未修复 — 披露已41天

缓解措施和替代方案

由于目前没有官方提供的修复版本,建议采取以下缓解措施。首先,对用户输入进行严格的验证和过滤,特别是fromdate参数,确保其符合预期的格式和范围。其次,实施内容安全策略(CSP),限制浏览器可以加载的资源来源,从而降低XSS攻击的风险。此外,可以考虑使用Web应用程序防火墙(WAF)来检测和阻止恶意请求。最后,定期审查代码,查找潜在的安全漏洞。

修复方法

将 PHPGurukul Company Visitor Management System 更新到最新可用版本,以缓解 XSS 漏洞。请查阅供应商文档以获取具体的更新说明。实施额外的安全措施,例如输入验证和清理,以防止未来的 XSS 攻击。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2026-6162 — XSS漏洞在PHPGurukul Company Visitor Management System中?

CVE-2026-6162是一个跨站脚本攻击(XSS)漏洞,影响到PHPGurukul Company Visitor Management System 2.0.0–2.0版本的/bwdates-reports-details.php文件,攻击者可以通过操纵fromdate参数注入恶意脚本。

我是否受到CVE-2026-6162在PHPGurukul Company Visitor Management System中的影响?

如果您正在使用PHPGurukul Company Visitor Management System 2.0.0–2.0版本,则可能受到此漏洞的影响。请立即采取缓解措施。

我如何修复CVE-2026-6162在PHPGurukul Company Visitor Management System中?

目前没有官方修复版本,建议采取输入验证、CSP、WAF等缓解措施。

CVE-2026-6162是否正在被积极利用?

虽然尚未观察到大规模利用,但由于漏洞的易利用性,存在被恶意利用的风险。

在哪里可以找到PHPGurukul官方关于CVE-2026-6162的公告?

请查阅PHPGurukul官方网站或相关安全公告,获取关于CVE-2026-6162的官方信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE