CVE-2026-4899CVE-2026-4899 是 code-projects Online Food Ordering System 1.0 版本中发现的一个安全漏洞。该漏洞存在于系统后端的 /dbfood/food.php 文件中,主要原因是未对 'cuisines' 参数进行充分的输入验证和过滤。攻击者可以利用该漏洞注入恶意脚本代码,导致跨站脚本攻击(XSS)。尽管该漏洞的 CVSS 评分仅为 2.4(低危),且需要高权限和用户交互,但攻击者仍可远程利用此漏洞。当特权用户访问被注入的页面时,恶意脚本将在其浏览器中执行,可能导致会话劫持或数据完整性受损,对系统安全性构成潜在威胁。
该漏洞的根源在于应用程序缺乏对用户输入数据的严格清洗。在 Online Food Ordering System 1.0 的 /dbfood/food.php 接口处,'cuisines' 参数被直接传递并渲染到 Web 页面中,未经过 HTML 实体编码或特殊的转义处理。根据 CVSS 向量(PR:H/UI:R),这通常意味着攻击者需要具备高权限(如管理员权限)并诱导用户进行交互,或者利用存储型 XSS 持久化攻击载荷。利用过程涉及构造包含 JavaScript 代码的 payload,并将其作为 'cuisines' 参数的值发送给服务器。当服务器处理该请求并生成响应页面时,未经过滤的 payload 会被嵌入 HTML 源码中。一旦其他用户(特别是管理员)访问该特定页面,浏览器将解析并执行这段恶意代码。由于攻击发生在客户端,攻击者可以借此窃取 Cookie、篡改页面内容或执行未授权操作,破坏系统的数据完整性。