CVE-2026-13556
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 — wyżej niż 35% wszystkich znanych CVE
Streszczenie
W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność na atak XSS. Nieznana część pliku /admin/mod_users/controller.php?action=edit w komponencie POST Request Handler pozwala na manipulację argumentem Name, co prowadzi do wykonania skryptów po stronie przeglądarki. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wstrzyknięcia złośliwego skryptu, co może prowadzić do kradzieży sesji użytkowników, deface'u strony lub kradzieży danych wrażliwych. Publicznie dostępny exploit zwiększa prawdopodobieństwo ataku.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować łatkę od producenta. Do czasu aktualizacji zaleca się walidację i sanityzację danych wejściowych w argumencie Name oraz wdrożenie filtrów anty-XSS.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was determined in itsourcecode Online Hotel Management System 1.0. This affects an unknown part of the file /admin/mod_users/controller.php?action=edit of the component POST Request Handler. This manipulation of the argument Name causes cross site scripting. The attack may be initiated remotely. The exploit has been publicly disclosed and may be utilized.

