MEDIUMCVE-2026-5319CVSS 4.3

CVE-2026-5319：工资管理系统1.0存在XSS漏洞

平台

php

组件

submit

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-5319是itsourcecode工资管理系统1.0版本中/navbar.php文件存在的一个跨站脚本（XSS）漏洞。该漏洞允许远程攻击者通过操纵page参数来注入恶意脚本，从而可能窃取用户数据或篡改网页内容。受影响的版本为1.0至1.0。目前尚无官方补丁修复此漏洞。

影响与攻击场景

在 itsourcecode 薪资管理系统 1.0 及更早版本中，发现了一个跨站脚本 (XSS) 漏洞。该漏洞存在于 /navbar.php 文件的未知函数中，允许操纵 'page' 参数。攻击者可以注入恶意代码，该代码将在其他用户的浏览器中执行，从而可能破坏其帐户或窃取敏感信息。此漏洞的严重程度评分为 CVSS 4.3，表明存在中等风险。该漏洞的利用公开披露且可远程利用，这大大增加了使用此软件版本的组织的风险。利用成功可能导致显示虚假弹出窗口、重定向到恶意网站或窃取会话 cookie。

利用背景

itsourcecode 薪资管理系统的 XSS 漏洞是通过操纵 /navbar.php 文件中的 'page' 参数来利用的。由于该漏洞的利用公开可用，因此攻击者可以轻松找到利用此弱点的代码示例。攻击可以远程启动，这意味着攻击者不需要访问系统的物理访问权限。恶意代码的注入可以通过多种方式发生，例如操纵 URL 参数或将脚本注入到输入字段中。一旦恶意代码在用户的浏览器中执行，攻击者就可以窃取机密信息，例如用户名、密码和财务数据。缺乏官方修复程序使系统特别容易受到此类攻击。

哪些人处于风险中翻译中…

Organizations utilizing itsourcecode Payroll Management System version 1.0, particularly those with publicly accessible instances or those lacking robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same server are also vulnerable, as an attacker could potentially compromise other users' accounts through this XSS vulnerability.

检测步骤翻译中…

• generic web: Use curl to test for XSS by injecting <script>alert(1)</script> into the 'page' parameter of /navbar.php. Check the response for the alert box.

curl 'http://your-payroll-system/navbar.php?page=<script>alert(1)</script>'

• generic web: Examine access and error logs for suspicious requests targeting /navbar.php with unusual parameters. Look for patterns indicative of XSS attempts. • php: Review the source code of /navbar.php for inadequate input validation or output encoding of the 'page' parameter. Search for functions like htmlspecialchars or strip_tags that should be used but are missing.

攻击时间线

2026-04-02Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.01% (1% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件submit

供应商itsourcecode

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-79 CWE-94

时间线

已保留2026-04-01
发布日期2026-04-02
EPSS 更新日期2026-04-09

未修复 — 披露已52天

缓解措施和替代方案

目前，itsourcecode 未为其漏洞提供官方修复程序。最有效的即时缓解措施是尽快升级到薪资管理系统的更新版本。同时，建议实施额外的安全措施，例如严格验证和清理所有用户输入、应用内容安全策略 (CSP) 以限制脚本源以及持续监控系统日志以查找可疑活动。Web 应用程序防火墙 (WAF) 还可以帮助阻止已知的 XSS 攻击。系统管理员必须评估风险并优先实施这些缓解措施，直到发布官方解决方案为止。

修复方法

升级到打补丁的薪资管理系统版本。联系供应商获取修复版本或采取必要的安全措施以防止 (XSS) 代码执行。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5319 是什么 — Payroll Management System 中的漏洞？

XSS（跨站脚本）是一种安全漏洞，允许攻击者将恶意脚本注入到其他用户查看的网页中。

Payroll Management System 中的 CVE-2026-5319 是否会影响我？

如果您正在使用 itsourcecode 薪资管理系统 1.0 或更早版本，则很可能受到影响。请检查您的系统日志以查找可疑活动。

如何修复 Payroll Management System 中的 CVE-2026-5319？

立即更改您的密码并检查您的帐户是否存在未经授权的活动。向 itsourcecode 支持报告事件。

CVE-2026-5319 是否正在被积极利用？

有几种漏洞扫描工具可以帮助您检测 XSS。请咨询您的安全提供商以获取建议。

在哪里可以找到 Payroll Management System 关于 CVE-2026-5319 的官方安全通告？

目前没有关于修复程序可用性的估计日期。请查看 itsourcecode 网站以获取更新。