平台
php
组件
simple-customer-relationship-management-system
修复版本
1.0.1
CVE-2026-5325 描述了 SourceCodester Simple Customer Relationship Management System 1.0 中的跨站脚本攻击 (XSS) 漏洞。该漏洞源于组件“创建工单”中 /create-ticket.php 文件的 Description 参数处理不当。攻击者可以利用此漏洞在受害者浏览器中执行恶意脚本,造成信息泄露或会话劫持。受影响的版本为 1.0。
该 XSS 漏洞允许攻击者在 Simple Customer Relationship Management System 的用户界面中注入恶意脚本。攻击者可以利用此漏洞窃取用户的敏感信息,例如登录凭据、个人数据等。此外,攻击者还可以利用此漏洞劫持用户的会话,冒充用户执行各种操作,例如修改数据、发送恶意邮件等。由于该漏洞已公开披露,且攻击方式相对简单,因此存在被恶意利用的风险。攻击者可能通过构造恶意的 URL 或表单提交,诱导用户点击或提交,从而触发 XSS 漏洞。
该漏洞已公开披露,这意味着攻击者可以轻松获取漏洞信息和利用方法。目前尚未观察到大规模的利用活动,但由于漏洞的公开性,存在被恶意利用的风险。该漏洞被评定为 CVSS 3.5 的低危漏洞,但仍应尽快采取缓解措施。
Organizations using Simple Customer Relationship Management System version 1.0, particularly those with publicly accessible instances or those handling sensitive customer data, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised account could be used to exploit the vulnerability and impact other users.
• php / web:
curl -I 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep -i 'X-Powered-By'• generic web:
curl -s 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep 'alert("XSS")'disclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
由于没有提供固定的版本,建议采取以下缓解措施。首先,对用户输入进行严格的验证和过滤,特别是 Description 参数,以防止恶意脚本注入。可以使用白名单机制,只允许预期的字符和格式。其次,启用内容安全策略 (CSP),限制浏览器可以加载的资源来源,从而降低 XSS 攻击的风险。此外,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器,拦截和过滤恶意的 HTTP 请求。最后,定期审查和更新 Simple Customer Relationship Management System 的代码,修复潜在的安全漏洞。
升级到 CRM 系统的已修复版本。联系供应商以获取补丁或更新版本,以解决 create-ticket.php 文件中的跨站脚本 (XSS) 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-5325 是 SourceCodester Simple Customer Relationship Management System 1.0 中发现的跨站脚本攻击 (XSS) 漏洞,攻击者可以通过操纵 Description 参数注入恶意脚本。
如果您正在使用 SourceCodester Simple Customer Relationship Management System 1.0,则可能受到此漏洞的影响。请尽快采取缓解措施。
由于没有提供固定的版本,建议对用户输入进行严格的验证和过滤,启用 CSP,并考虑使用 WAF 或代理服务器。
虽然目前尚未观察到大规模的利用活动,但由于漏洞已公开披露,存在被恶意利用的风险。
请访问 SourceCodester 的官方网站或相关安全公告网站,查找有关 CVE-2026-5325 的官方告警信息。