CVE-2026-30568SourceCodester Sales and Inventory System 1.0版本存在反射型跨站脚本(XSS)漏洞。该漏洞位于view_purchase.php文件的limit参数中,由于应用程序未能正确过滤用户输入,远程攻击者可以通过构造恶意URL链接诱导高权限用户点击,从而在受害者浏览器中执行任意Web脚本或HTML代码,窃取Cookie或进行会话劫持等攻击。
该漏洞属于典型的反射型跨站脚本攻击(Reflected XSS),其根本原因在于服务器端对HTTP请求参数缺乏严格的输入验证和安全输出编码。具体而言,SourceCodester Sales and Inventory System在处理view_purchase.php页面时,直接将用户提交的limit参数值未经任何过滤便嵌入到HTTP响应的HTML源码中。由于应用程序未使用htmlspecialchars()等函数对特殊字符进行转义,攻击者可以构造包含恶意JavaScript代码的URL。虽然CVSS向量显示需要高权限(PR:H)和用户交互(UI:R),这意味着攻击者需要诱导具有较高权限的用户(如管理员)点击恶意链接。一旦受害者访问该链接,恶意脚本将在其浏览器上下文中执行,利用作用域改变(S:C)的特性,攻击者可窃取Session ID、执行未授权操作或进行钓鱼攻击。