平台
php
组件
sales-and-inventory-system
修复版本
1.0.1
CVE-2026-5810 描述了 SourceCodester Sales and Inventory System 1.0.0–1.0 中的跨站脚本攻击(XSS)漏洞。该漏洞位于 /delete.php 文件中,攻击者可以通过操纵 ID 参数来执行恶意脚本。该漏洞允许远程攻击,已公开,可能被利用,建议尽快采取措施。
该 XSS 漏洞允许攻击者在受影响的 Sales and Inventory System 中注入恶意脚本。攻击者可以利用此漏洞窃取用户凭据,例如用户名和密码,并进行会话劫持。此外,攻击者还可以利用此漏洞重定向用户到恶意网站,或在用户浏览器中执行其他恶意操作。由于漏洞已公开,攻击者可能已经开始利用此漏洞,因此需要立即采取措施。
该漏洞已公开,存在被利用的风险。目前尚未观察到大规模的利用活动,但由于漏洞细节已公开,攻击者可能正在积极寻找利用方法。建议密切关注安全社区的动态,并及时采取措施。
Organizations utilizing SourceCodester Sales and Inventory System, particularly those with limited security resources or outdated configurations, are at increased risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially impact others.
• php / web:
curl -s -X POST 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
curl -s 'http://your-sales-inventory-system/delete.php?id=<script>alert("XSS")</script>' | grep -i alert• generic web:
grep -i 'alert("XSS")' /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
由于存在公开漏洞,建议立即升级到修复版本。如果无法立即升级,可以考虑以下缓解措施:首先,对 /delete.php 文件进行严格的输入验证和输出编码,以防止恶意脚本注入。其次,实施 Web 应用防火墙(WAF),以检测和阻止 XSS 攻击。最后,定期审查和更新系统配置,以确保其安全性。
将 Sales and Inventory System 系统更新到已修复的版本。请查阅供应商文档以获取具体的更新说明。实施额外的安全措施,例如输入验证和输出编码,以降低 XSS 攻击的风险。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-5810 是 SourceCodester Sales and Inventory System 1.0.0–1.0 中发现的跨站脚本攻击(XSS)漏洞,允许攻击者通过操纵 ID 参数注入恶意脚本。
如果您正在使用 SourceCodester Sales and Inventory System 1.0.0–1.0,则可能受到此漏洞的影响。请立即检查并采取缓解措施。
建议立即升级到修复版本。如果无法升级,请实施输入验证和输出编码,并考虑使用 Web 应用防火墙。
虽然目前尚未观察到大规模的利用活动,但由于漏洞细节已公开,攻击者可能正在积极寻找利用方法。
请访问 SourceCodester 的官方网站或安全公告页面,以获取有关此漏洞的更多信息和官方公告。