CVE-2026-30556SourceCodester Sales and Inventory System 1.0 版本中存在一个反射型跨站脚本(XSS)漏洞。该漏洞源于应用程序未对 index.php 文件中“msg”参数的输入进行充分的过滤和净化。远程攻击者可以通过构造恶意的 URL 链接,诱导受害者点击,从而在受害者的浏览器中注入并执行任意的 Web 脚本或 HTML 代码,可能导致窃取 Cookie 或会话劫持等安全风险。
该漏洞属于典型的反射型跨站脚本攻击(Reflected XSS)。漏洞的具体触发点位于应用程序的 `index.php` 文件中,主要涉及对 HTTP GET 请求参数 `msg` 的不安全处理。由于后端代码缺乏对用户输入数据的严格校验和安全编码机制,特别是未对特殊字符(如 `<`, `>`, `"`)进行 HTML 实体转义,导致攻击者注入的恶意 JavaScript 代码会被服务器原样反射回客户端并在响应页面中解析执行。攻击者无需经过身份认证即可利用此漏洞,通常结合社会工程学手段,诱导受害者访问包含恶意 payload 的特制链接。一旦受害者点击链接,其浏览器将解析该响应,嵌入的脚本即会在用户的会话上下文中运行,进而窃取敏感信息或执行恶意操作。