CVE-2026-9377SourceCodester SUP Online Shopping 1.0 版本被发现存在安全漏洞,具体位于 /admin/productedit.php 文件的处理逻辑中。由于系统未对 productName 参数进行严格的输入验证和过滤,攻击者能够注入恶意脚本代码,导致存储型或反射型跨站脚本攻击(XSS)。该漏洞可被远程利用,且目前已有公开的利用代码,对系统完整性构成潜在威胁。
该漏洞源于 SourceCodester SUP Online Shopping 1.0 在处理产品编辑功能时的安全缺陷。具体来说,在 /admin/productedit.php 页面接收并处理 productName 参数时,应用程序未能正确实施输入清洗和输出编码机制。根据 CVSS 3.1 评分向量(AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N),该攻击通过网络发起,攻击复杂度低,但要求攻击者具有较高的权限(如管理员账户)且需要用户交互(如点击链接或访问特定页面)才能触发。攻击者可以通过在 productName 字段中插入恶意的 HTML 或 JavaScript 代码(例如 <script>alert(1)</script>),当具有高权限的用户浏览受影响的页面时,注入的脚本将在其浏览器上下文中执行。这可能导致会话劫持、账户接管或对管理功能的未授权操作,尽管其对系统机密性和可用性的影响被评估为无或极低,但对完整性有轻微影响。