CVE-2026-1146CVE-2026-1146是SourceCodester开发的Patients Waiting Area Queue Management System 1.0版本中的一个存储型跨站脚本(Stored XSS)漏洞。该系统是一款用于医疗机构管理患者排队等候区域的管理系统。漏洞存在于患者注册接口文件php/api_register_patient.php中,具体问题出现在对用户输入的firstName和lastName参数处理不当。攻击者可以通过这两个参数注入恶意的JavaScript代码,当其他用户或管理员访问相关页面时,恶意脚本将自动执行,可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。由于该漏洞被标记为低危级别(CVSS 3.5),其主要影响在于信息泄露和用户体验层面,但仍然可能被利用进行钓鱼攻击或传播恶意内容。漏洞已于2026年1月19日公开披露, exploit代码已在互联网公开,攻击者可以轻易获取并利用此漏洞。
该漏洞为存储型XSS(Stored XSS)漏洞,存在于患者注册功能的API接口中。攻击者通过构造特制的firstName或lastName参数值,注入包含JavaScript脚本的恶意代码。系统在后端处理这些输入时未进行充分的输入验证和输出编码,直接将用户提交的数据存储到数据库中。当其他用户(如护士、医生或管理员)查看患者列表或相关页面时,存储的恶意脚本会被浏览器解析执行。攻击者可以利用此漏洞窃取用户会话Cookie、获取用户权限、执行未经授权的操作或进行钓鱼攻击。由于系统通常部署在医疗机构内部网络,攻击者一旦成功利用,可能获取患者隐私信息,对医疗数据安全造成威胁。漏洞利用条件较低,仅需普通用户权限即可发起攻击,且需要用户交互(UI:R)才能触发。