CVE-2026-13554
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 — wyżej niż 35% wszystkich znanych CVE
Streszczenie
W systemie Online Hotel Management System 1.0 znaleziono podatność na atak XSS w pliku /admin/mod_amenities/controller.php?action=add. Manipulacja argumentem Name w żądaniu POST umożliwia zdalne wstrzyknięcie skryptów. Exploit został opublikowany.
Ocena ryzyka
Atakujący może zdalnie wykonać złośliwy skrypt w przeglądarce administratora, co może prowadzić do kradzieży sesji, deface'u lub kradzieży danych.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować filtrowanie wejścia (walidacja i sanityzacja) dla argumentu Name w pliku controller.php.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been found in itsourcecode Online Hotel Management System 1.0. Affected by this vulnerability is an unknown functionality of the file /admin/mod_amenities/controller.php?action=add of the component POST Request Handler. The manipulation of the argument Name leads to cross site scripting. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.

