平台
php
组件
hajimi
修复版本
1.0.1
CVE-2026-5106 描述了 Exam Form Submission 1.0 中的一个跨站脚本 (XSS) 漏洞。该漏洞允许攻击者通过注入恶意脚本,在受害者的浏览器中执行代码。 攻击可能导致用户会话劫持、信息窃取等安全问题。 漏洞影响了 1.0 版本。 目前,官方尚未发布针对此漏洞的修复补丁。
CVE-2026-5106 影响 'Exam Form Submission' 1.0 版本,特别是文件 /admin/update_fst.php 中一个未知的函数。该漏洞源于对 'sname' 参数的操纵,导致跨站脚本攻击 (XSS) 漏洞。这意味着攻击者可以将恶意代码注入到应用程序中,该代码将在其他用户的浏览器中执行,从而允许他们窃取敏感信息、冒充用户或将他们重定向到恶意网站。风险很高,因为漏洞可以远程利用,并且已经发布了漏洞利用程序,这使得攻击者更容易使用它。缺乏可用的修复程序加剧了情况,需要立即关注。
CVE-2026-5106 通过操纵 /admin/update_fst.php 中的 'sname' 参数来利用。攻击者可以向此文件发送恶意的 HTTP 请求,并在 'sname' 的值中注入 JavaScript 代码。由于对该参数缺乏适当的验证或转义,因此注入的代码将被存储并在另一用户访问显示与 'sname' 相关数据的页面时执行。发布公共漏洞利用程序意味着攻击者拥有逐步执行攻击的指南,从而大大增加了漏洞被利用的风险。此漏洞的远程性质意味着它可以从任何具有应用程序访问权限的位置进行利用。
Administrators and users with access to the /admin/update_fst.php endpoint are at risk. Shared hosting environments where multiple applications share the same server are particularly vulnerable, as a compromise of one application could potentially lead to the exploitation of this vulnerability in others.
• php / web:
grep -r 'sname' /var/www/exam_form_submission/admin/update_fst.php• generic web:
curl -I http://your-exam-form-submission-url.com/admin/update_fst.php?sname=<script>alert(1)</script>• generic web: Examine access logs for requests to /admin/update_fst.php containing suspicious characters in the 'sname' parameter (e.g., <script>, <img src=x onerror=alert(1)>).
disclosure
漏洞利用状态
EPSS
0.03% (8% 百分位)
CISA SSVC
由于没有提供官方修复程序 (fix: none),因此立即的缓解措施侧重于预防措施。强烈建议暂时禁用 /admin/update_fst.php 中的受影响的功能,直到实施解决方案。此外,对于 'sname' 参数,实施强大的输入过滤非常关键,验证并转义任何潜在的危险字符。积极监控服务器日志中与 'sname' 操纵相关的可疑活动至关重要。考虑使用 Web 应用程序防火墙 (WAF) 来检测和阻止 XSS 攻击。最后,请确保服务器软件及其所有依赖项保持最新状态,以减轻可能与其他漏洞结合利用的其他漏洞。
更新到已修补的版本或采取必要的安全措施以防止 XSS 代码的执行。验证和清理用户输入,特别是文件 '/admin/update_fst.php' 中的 'sname' 参数。
漏洞分析和关键警报直接发送到您的邮箱。
XSS(跨站脚本攻击)是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的网页中。
这表示开发人员目前没有为该漏洞提供官方解决方案或补丁。
如果您正在使用 'Exam Form Submission' 1.0 版本,则很可能受到影响。监控服务器日志中是否存在可疑活动,并进行渗透测试。
WAF(Web 应用程序防火墙)是一种安全工具,可保护 Web 应用程序免受常见的攻击,例如 XSS 和 SQL 注入。
隔离受影响的系统,更改所有用户密码,并进行全面的安全审计。
CVSS 向量