CVE-2026-9485 CVSS 3.5 低危

CVE-2026-9485：SourceCodester学生成绩管理系统XSS漏洞

披露日期: 2026-05-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-9485

漏洞类型

跨站脚本 (XSS)

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

SourceCodester Student Grades Management System

漏洞概述

SourceCodester Student Grades Management System 1.0版本存在跨站脚本漏洞。攻击者可利用`students.php`文件中`Remarks`参数的过滤缺失，注入恶意脚本。该漏洞需低权限及用户交互触发，可能影响系统完整性，目前利用代码已公开。

技术细节

该漏洞源于SourceCodester Student Grades Management System 1.0在处理学生成绩备注信息时缺乏必要的安全防护机制。具体而言，在`students.php`文件中，程序直接接收并展示用户提交的`Remarks`参数，未进行有效的输入清洗或输出转义。这使得攻击者能够构造包含恶意JavaScript或HTML代码的Payload（如`<script>alert(1)</script>`）。攻击者可利用社会工程学手段诱导低权限用户访问受污染的链接或页面。由于漏洞需要用户交互（UI:R），恶意代码仅在受害者浏览器渲染该页面时执行。攻击者可借此窃取用户会话凭证、篡改页面内容或执行客户端攻击，导致系统完整性受损。

攻击链分析

STEP 1

信息收集

识别目标系统为SourceCodester Student Grades Management System 1.0，确认存在students.php页面。

STEP 2

构造Payload

针对Remarks参数构造包含恶意JavaScript脚本的XSS Payload，例如<script>alert(1)</script>。

STEP 3

传递Payload

诱导具有低权限的用户点击特制链接或提交包含恶意Payload的数据。

STEP 4

执行攻击

用户浏览器解析students.php页面，未过滤的Remarks参数导致脚本执行，窃取Cookie或进行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-9485
Target: SourceCodester Student Grades Management System 1.0
File: students.php
Parameter: Remarks
-->
<html>
  <body>
    <!-- Exploit via POST request to students.php -->
    <form action="http://target-ip/students.php" method="POST">
      <input type="hidden" name="Remarks" value="<script>alert(document.cookie)</script>" />
      <input type="submit" value="Submit Request" />
    </form>
  </body>
</html>

影响范围

SourceCodester Student Grades Management System 1.0

防御指南

临时缓解措施

建议管理员尽快检查系统日志，并在官方修复补丁发布前，在Web应用防火墙（WAF）中添加针对`students.php`参数的XSS攻击拦截规则，同时限制对受影响页面的访问权限。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-9485
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-9485
3 Details https://www.cvedetails.com/cve/CVE-2026-9485/
4 VulDB https://vuldb.com/cve/CVE-2026-9485
5 Link https://github.com/Jack-MRJ/Student-Grades-Management-System-Vulnerability-Report
6 Link https://vuldb.com/submit/814043
7 Link https://vuldb.com/vuln/365466
8 Link https://vuldb.com/vuln/365466/cti
9 Link https://www.sourcecodester.com/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表