CVE-2026-30562SourceCodester Sales and Inventory System 1.0 版本存在严重的反射型跨站脚本(XSS)漏洞。该漏洞的具体成因在于 `add_stock.php` 文件未对 `msg` 参数进行严格的输入过滤和安全清理。远程攻击者可利用此缺陷,通过构造包含恶意脚本的 URL 诱导受害者访问。一旦受害者点击链接,恶意脚本将在其浏览器上下文中执行,进而可能导致窃取用户凭证、会话劫持或重定向至恶意网站等严重后果。
该漏洞属于典型的反射型跨站脚本攻击。在 SourceCodester Sales and Inventory System 1.0 的业务逻辑实现中,`add_stock.php` 接口直接接收用户通过 GET 或 POST 请求提交的 `msg` 参数。应用程序未对该参数进行严格的安全校验或 HTML 实体编码,直接将其嵌入到服务器返回的 HTML 响应页面中。由于缺乏必要的输出编码机制,当受害者访问攻击者精心构造的恶意链接时,浏览器会将攻击者注入的 JavaScript payload 当作合法代码进行解析和执行。根据 CVSS 3.1 评分向量,该攻击无需认证(PR:N),利用复杂度低(AC:L),且具有范围改变(S:C)的影响,这意味着攻击可能影响到用户上下文之外的数据。攻击者利用此漏洞不仅能够窃取高价值的机密信息(如 Session ID),还能篡改页面完整性,实施钓鱼攻击。