CVE-2026-7281SourceCodester Pharmacy Sales and Inventory System 1.0版本中存在一个被标记为低危的安全漏洞。该漏洞源于/index.php?page=supplier文件中的supplier函数对输入参数处理不当。具体而言,攻击者可以通过操纵“Name”参数注入恶意脚本,从而引发跨站脚本攻击(XSS)。尽管此漏洞的利用需要较高的用户权限且涉及用户交互,但由于攻击可远程发起且已公开披露,仍对系统的完整性构成潜在威胁。一旦成功利用,可能导致用户数据被篡改或执行未授权的操作。
该漏洞属于典型的跨站脚本漏洞(XSS),其根本原因在于应用程序对用户提交的“Name”参数缺乏有效的过滤和转义机制。在SourceCodester Pharmacy Sales and Inventory System 1.0的供应商管理模块中,当高权限用户添加或修改供应商信息时,系统直接接收并处理Name参数的值,未检测其中是否包含HTML或JavaScript标签。攻击者利用这一缺陷,可以将恶意脚本注入到数据库中。根据CVSS 3.1向量分析,该漏洞的攻击复杂度为低(AC:L),但要求攻击者必须拥有高权限账户(PR:H),且需要受害者进行交互(UI:R)才能触发。虽然机密性未受直接影响(C:N),但攻击者可借此破坏页面完整性(I:L),在受害者的浏览器中执行任意代码,例如窃取会话Cookie或进行钓鱼攻击。