CVE-2026-36388PHPGurukal Hospital Management System v4.0版本中存在一个跨站脚本(XSS)漏洞。该漏洞位于/hospital/hms/edit-profile.php页面,由于对用户输入的“User Name”参数缺乏充分的过滤和验证,导致经过身份验证的攻击者(如患者角色)能够在其中注入恶意脚本载荷。这些恶意脚本会被存储在应用程序数据库中,并在医生访问相关界面时被渲染执行,从而可能导致窃取会话凭证或执行其他恶意操作。
该漏洞属于存储型跨站脚本攻击(Stored XSS)。其根本原因在于应用程序在处理用户个人资料更新请求时,未对“User Name”等关键字段进行有效的HTML实体编码或严格的输入过滤。攻击者首先需要以普通患者身份登录系统,随后导航至个人资料编辑页面。在修改用户名的过程中,攻击者可以构造包含恶意JavaScript代码的Payload(例如`<script>alert(document.cookie)</script>`)并提交表单。服务器后端接收到该数据后,直接将其持久化存储到数据库中,未进行任何转义处理。随后,当具有更高权限的用户(如医生)登录系统并访问需要显示该用户名的界面(例如患者列表或详情页)时,服务器会从数据库读取数据并直接拼接到HTML响应中返回给浏览器。此时,受害者的浏览器会将攻击者注入的脚本代码当作正常指令进行解析和执行。由于漏洞CVSS向量中包含S:C(Scope Changed),攻击可能突破当前页面的限制,影响更广泛的上下文,导致会话劫持或恶意操作。