MEDIUMCVE-2026-5825CVSS 4.3

code-projects Simple Laundry System delmemberinfo.php 跨站脚本

平台

php

组件

simple-laundry-system

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5825 是一个在 code-projects Simple Laundry System 的 1.0.0–1.0 版本中发现的跨站脚本攻击 (XSS) 漏洞。该漏洞存在于 /delmemberinfo.php 文件中，攻击者可以通过操纵 userid 参数来触发。成功利用该漏洞可能导致恶意脚本在用户浏览器中执行，从而窃取敏感信息或进行其他恶意活动。目前，该漏洞的利用方式已公开，存在安全风险。

影响与攻击场景

在 Simple Laundry System 1.0 中发现了一种跨站脚本 (XSS) 漏洞。该漏洞位于 /delmemberinfo.php 文件中，并通过操纵 'userid' 参数进行利用。远程攻击者可以注入恶意代码，该代码将在其他用户的浏览器中执行，从而可能允许他们窃取敏感信息、修改页面内容或将用户重定向到恶意网站。考虑到该漏洞的利用方式已公开且易于获取，因此该漏洞的严重程度很高。缺乏提供的修复程序进一步加剧了 Simple Laundry System 用户面临的风险。

利用背景

Simple Laundry System 1.0 中的 XSS 漏洞是通过操纵 /delmemberinfo.php 文件中的 'userid' 参数来利用的。攻击者可以构造一个包含注入的 JavaScript 代码在 'userid' 值中的恶意 URL。当用户访问此 URL 时，JavaScript 代码将在其浏览器中执行。这使攻击者能够执行各种操作，例如窃取会话 cookie、将用户重定向到网络钓鱼网站或显示虚假消息。利用方式的远程性质意味着攻击者无需直接访问服务器即可利用该漏洞。利用方式的公开可用性大大增加了攻击的风险。

哪些人处于风险中翻译中…

Organizations using Simple Laundry System 1.0.0–1.0, particularly those with publicly accessible instances or those lacking robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's account could potentially affect others.

检测步骤翻译中…

• php / web: Examine access logs for requests to /delmemberinfo.php containing unusual or suspicious characters in the userid parameter. Use grep to search for patterns indicative of XSS payloads (e.g., <script>, javascript:, onerror=).

grep -i 'script|javascript|onerror' /var/log/apache2/access.log | grep /delmemberinfo.php

• generic web: Use curl to test the /delmemberinfo.php endpoint with a simple XSS payload and observe the response for signs of script execution.

curl 'http://example.com/delmemberinfo.php?userid=<script>alert("XSS")</script>' -s

攻击时间线

2026-04-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.01% (1% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件simple-laundry-system

供应商code-projects

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-79 CWE-94

时间线

已保留2026-04-08
发布日期2026-04-09
EPSS 更新日期2026-04-16

未修复 — 披露已45天

缓解措施和替代方案

由于开发人员未提供官方修复程序，因此立即缓解需要采取预防措施。强烈建议暂时禁用 /delmemberinfo.php 文件，直到可以实施安全解决方案。严格验证和清理所有用户输入，尤其是 'userid' 参数，对于防止未来的 XSS 攻击至关重要。在将输出显示在网页上之前，请使用受信任的 XSS 逃逸库对输出进行编码。此外，请积极监控服务器日志，以查找可疑活动。如果将来有可用，请考虑升级到 Simple Laundry System 的更安全版本。

修复方法翻译中…

Actualice el sistema Simple Laundry System a la última versión disponible para mitigar la vulnerabilidad de XSS.  Revise y sanee la entrada del usuario 'userid' antes de usarla en cualquier contexto que pueda generar HTML. Implemente medidas de seguridad adicionales, como la codificación de salida, para prevenir ataques XSS.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5825 是什么 — Simple Laundry System 中的漏洞？

XSS（跨站脚本）是一种安全漏洞类型，允许攻击者将恶意脚本注入到其他用户查看的网页中。

Simple Laundry System 中的 CVE-2026-5825 是否会影响我？

对您的网站执行渗透测试或使用漏洞扫描工具来识别潜在的 XSS 漏洞。

如何修复 Simple Laundry System 中的 CVE-2026-5825？

隔离受影响的系统，更改所有用户密码，并进行全面的安全审计。

CVE-2026-5825 是否正在被积极利用？

有几个库和框架可以帮助您防止 XSS，例如 OWASP ESAPI 和 DOMPurify。

在哪里可以找到 Simple Laundry System 关于 CVE-2026-5825 的官方安全通告？

这意味着用于利用漏洞的代码或指令已公开可用，这使得攻击者更容易使用它。