CVE-2026-30561SourceCodester Sales and Inventory System 1.0 版本中的 add_purchase.php 文件存在反射型跨站脚本(XSS)漏洞。由于应用程序未对 msg 参数进行严格的输入过滤和清理,远程攻击者可以通过构造恶意 URL 来注入任意的 Web 脚本或 HTML 代码。当受害者访问该链接时,恶意脚本将在其浏览器中执行,可能导致窃取 Cookie 或会话劫持等安全风险。
该漏洞属于反射型跨站脚本攻击(Reflected XSS)。漏洞产生的根本原因在于 SourceCodester Sales and Inventory System 1.0 的 add_purchase.php 页面在处理用户输入时,对 msg 参数缺乏必要的安全过滤机制。应用程序直接将用户提交的数据未经任何转义就反射回 HTTP 响应页面中。攻击者可利用此漏洞,构造包含恶意 JavaScript 代码的 URL(例如 <script>alert(document.cookie)</script>)。由于该攻击需要用户交互(CVSS 向量 UI:R),攻击者通常结合钓鱼邮件或社会工程学手段诱导受害者点击链接。一旦受害者访问,浏览器将解析并执行注入的脚本,攻击者即可借此窃取用户的敏感信息(如 Session ID、Cookie)、执行未授权操作或将用户重定向至恶意网站,对用户的数据机密性和完整性构成威胁。