CVE-2026-8136 SourceCodester药房系统XSS漏洞

漏洞信息

漏洞编号

CVE-2026-8136

漏洞类型

跨站脚本 (XSS)

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester Pharmacy Sales and Inventory System

漏洞概述

SourceCodester Pharmacy Sales and Inventory System 1.0版本被发现存在跨站脚本漏洞。漏洞位于/index.php?page=users文件，由于对Name参数缺乏严格的输入验证和输出编码，攻击者可诱导高权限用户进行交互，进而执行恶意JavaScript代码，造成数据完整性破坏。

技术细节

该漏洞源于应用程序在处理用户输入时缺乏安全编码实践，属于典型的输入验证缺失问题。具体而言，在/index.php?page=users接口中，参数Name未经过滤即被直接渲染到网页HTML响应中。攻击者可以构造包含恶意JavaScript代码的Payload并提交给服务器。鉴于CVSS向量中PR:H（高权限）的要求，利用该漏洞通常需要攻击者具备一定的系统访问权限，或者针对具有高权限的管理员用户进行特定的交互诱导。一旦受害者触发了该恶意载荷，脚本将在其浏览器上下文中执行。攻击者利用此漏洞可窃取敏感的会话凭证、篡改页面内容或进行钓鱼攻击，从而破坏数据的完整性。

攻击链分析

STEP 1

侦察与发现

攻击者识别目标运行的是SourceCodester Pharmacy Sales and Inventory System 1.0，并定位到存在漏洞的/index.php?page=users页面。

STEP 2

权限获取

由于CVSS要求PR:H，攻击者利用合法凭证登录系统，获取访问用户管理页面的权限。

STEP 3

漏洞利用

攻击者在Name参数中注入恶意XSS Payload（如<script>...），并通过请求发送至服务器。

STEP 4

诱导交互

攻击者诱导具有高权限的用户（如管理员）访问包含恶意数据的页面或触发该数据的渲染（满足UI:R）。

STEP 5

执行攻击

受害者的浏览器解析并执行恶意脚本，导致Cookie泄露或页面内容被篡改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-8136
 * Target: SourceCodester Pharmacy Sales and Inventory System 1.0
 * Vulnerable Parameter: Name
 * Description: Injecting script into the Name parameter at /index.php?page=users
 */

// HTTP Request Example
GET /index.php?page=users&Name=<script>alert(document.cookie)</script> HTTP/1.1
Host: target-site.com
User-Agent: Mozilla/5.0
Accept: */*

// Or via POST form submission if applicable
// POST /index.php?page=users HTTP/1.1
// Host: target-site.com
// Content-Type: application/x-www-form-urlencoded
// Content-Length: 45
//
// Name=%3Cscript%3Ealert%281%29%3C%2Fscript%3E

影响范围

SourceCodester Pharmacy Sales and Inventory System 1.0

防御指南

临时缓解措施

在官方补丁发布前，建议管理员暂时限制对受影响页面的访问，并在Web应用防火墙（WAF）中部署规则，拦截针对Name参数的常见XSS攻击特征。同时，加强对高权限用户的安全培训，避免在系统内点击不明链接或查看不可信的用户数据。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8136
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8136
3 Details https://www.cvedetails.com/cve/CVE-2026-8136/
4 VulDB https://vuldb.com/cve/CVE-2026-8136
5 Link https://github.com/timeflies123/cve/issues/1
6 Link https://vuldb.com/submit/808839
7 Link https://vuldb.com/vuln/361925
8 Link https://vuldb.com/vuln/361925/cti
9 Link https://www.sourcecodester.com/