CVE-2026-5209SourceCodester Leave Application System 1.0版本的User Management Handler组件存在安全漏洞。该漏洞源于对用户输入缺乏有效过滤,允许高权限攻击者注入恶意脚本。当其他用户查看被篡改的数据时,将触发存储型跨站脚本攻击(XSS),造成完整性影响。
该漏洞位于SourceCodester Leave Application System的用户管理模块中。系统在处理用户提交的数据(如用户名或备注信息)时,未对特殊字符进行严格的转义或过滤。攻击者拥有高权限账号(如管理员)后,可以在User Management Handler处提交包含JavaScript代码的恶意数据。这些数据被直接存储在数据库中。当其他管理员或用户访问受影响的页面并读取该数据时,嵌入的恶意脚本将在受害者浏览器中执行。虽然利用需要高权限和用户交互,但仍可导致会话劫持或恶意操作。