LOWCVE-2026-5835CVSS 2.4

code-projects 在线鞋店 admin_football.php 跨站脚本漏洞

平台

php

组件

code-projects-online-shoe-store

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5835 描述了code-projects Online Shoe Store 1.0.0–1.0版本中发现的一处跨站脚本攻击（XSS）漏洞。攻击者可以通过操纵特定参数，在/admin/admin_football.php文件处注入恶意脚本，导致用户在浏览受影响页面时执行攻击者控制的代码。该漏洞影响所有使用该版本的用户，已公开PoC，建议尽快修复。

影响与攻击场景

该XSS漏洞允许攻击者在受影响的code-projects Online Shoe Store应用程序中注入恶意脚本。攻击者可以利用此漏洞窃取用户会话cookie，从而冒充用户执行操作，例如修改用户数据、发布恶意内容或重定向用户到恶意网站。由于漏洞可远程利用且已公开PoC，攻击者可以轻松地利用此漏洞，造成严重的安全风险。攻击者可能利用此漏洞进行钓鱼攻击，诱骗管理员输入敏感信息，进一步扩大攻击范围。

利用背景

该漏洞已公开PoC，表明攻击者可以轻松地利用此漏洞。目前尚无关于该漏洞被积极利用的公开报告，但由于PoC的可用性，存在被利用的风险。该漏洞已添加到NVD数据库中，CISA尚未将其列入KEV目录。EPSS评分预计为低，但应密切关注。

哪些人处于风险中翻译中…

Administrators of code-projects Online Shoe Store installations are the primary group at risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a successful attack could potentially compromise other websites hosted on the same server. Users with administrative privileges are at the highest risk.

检测步骤翻译中…

• php / web:

curl -s -X POST "http://your-target-domain.com/admin/admin_football.php" -d "product_name=<script>alert('XSS')</script>" | grep "<script>alert('XSS')</script>"

• generic web:

curl -I http://your-target-domain.com/admin/admin_football.php?product_name=<script>alert('XSS')</script>

• generic web: Examine access logs for requests to /admin/adminfootball.php containing suspicious characters or patterns in the productname parameter (e.g., <script>, <img src=x onerror=alert('XSS')>, etc.).

攻击时间线

2026-04-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件code-projects-online-shoe-store

供应商code-projects

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-79 CWE-94

时间线

已保留2026-04-08
发布日期2026-04-09
EPSS 更新日期2026-04-16

未修复 — 披露已45天

缓解措施和替代方案

由于该漏洞已公开PoC，建议立即采取措施。首要措施是升级到修复后的版本（如果可用）。如果无法立即升级，可以考虑以下缓解措施：对所有用户输入进行严格的输入验证和输出编码，特别是productname参数。配置Web应用程序防火墙（WAF），以检测和阻止XSS攻击。审查/admin/adminfootball.php文件，确保没有其他潜在的安全漏洞。在升级后，验证修复是否有效，例如通过尝试注入恶意脚本并确认是否被正确过滤。

修复方法

将 'code-projects 在线鞋店' 插件更新到最新可用版本，以缓解 admin_football.php 文件中的 XSS 漏洞。请查阅插件的官方来源以获取更新说明和安全补丁。为防止未来的 XSS 攻击，请为用户输入 'product_name' 实现适当的验证和转义。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2026-5835 — XSS in code-projects Online Shoe Store?

CVE-2026-5835描述了code-projects Online Shoe Store 1.0.0–1.0版本中发现的一处跨站脚本攻击（XSS）漏洞，攻击者可以通过操纵product_name参数注入恶意脚本。

我是否受到CVE-2026-5835 in code-projects Online Shoe Store的影响?

如果您正在使用code-projects Online Shoe Store 1.0.0–1.0版本，则可能受到此漏洞的影响。请立即检查并采取缓解措施。

如何修复CVE-2026-5835 in code-projects Online Shoe Store?

建议升级到修复后的版本（如果可用）。如果无法升级，请实施输入验证和输出编码，并配置WAF。

CVE-2026-5835是否正在被积极利用?

目前尚无关于该漏洞被积极利用的公开报告，但由于PoC的可用性，存在被利用的风险。

在哪里可以找到code-projects官方关于CVE-2026-5835的公告?

请查阅code-projects官方网站或相关安全公告，获取关于CVE-2026-5835的官方信息。