CVE-2026-5240code-projects BloodBank Managing System 1.0版本中存在安全漏洞。该漏洞影响/admin_state.php文件,由于对statename参数缺乏充分的过滤和验证,导致攻击者可以注入恶意脚本。这是一个存储型跨站脚本(XSS)漏洞,攻击者无需认证即可远程发起攻击,利用该漏洞可在受害者浏览器中执行恶意代码,对系统完整性构成威胁。
该漏洞根因在于BloodBank Managing System 1.0的/admin_state.php文件中未对用户输入的statename参数进行严格的过滤和转义。攻击者利用这一缺陷,可以向服务器提交包含恶意JavaScript代码的数据。由于系统直接将原始数据存储并展示在后续的页面响应中,这构成了存储型跨站脚本(Stored XSS)。攻击路径无需预先认证(PR:N),攻击复杂度低(AC:L),可通过网络直接发起(AV:N)。尽管需要用户交互(UI:R),即受害者需要访问受感染的页面,但一旦触发,攻击者即可在受害者的浏览器环境中执行任意脚本。这可能导致窃取管理员的Session ID、进行钓鱼攻击或篡改页面内容,对系统完整性(I:L)造成负面影响。