一、 漏洞 CVE-2026-1154 基础信息
漏洞信息
# SourceCodester 课程index.php XSS漏洞
## 概述
SourceCodester E-Learning System 1.0 中存在一个跨站脚本(XSS)漏洞,位于管理模块的 `/admin/modules/lesson/index.php` 文件中,与课程模块处理器相关。
## 影响版本
SourceCodester E-Learning System 1.0
## 细节
漏洞存在于 `/admin/modules/lesson/index.php` 文件中,攻击者可通过操纵参数中的 "Title" 或 "Description" 字段,注入恶意脚本。该漏洞属于基础型跨站脚本(Basic XSS),无需复杂构造即可触发。
## 影响
攻击者可远程利用该漏洞实施跨站脚本攻击,执行任意脚本代码,可能窃取会话信息或管理员权限。该漏洞的利用方法已被公开,存在被实际利用的风险。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SourceCodester E-Learning System Lesson index.php cross site scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw has been found in SourceCodester E-Learning System 1.0. This impacts an unknown function of the file /admin/modules/lesson/index.php of the component Lesson Module Handler. Executing a manipulation of the argument Title/Description can lead to basic cross site scripting. The attack can be executed remotely. The exploit has been published and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
Web页面中脚本相关HTML标签转义处理不恰当(基本跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1154 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-1154 的情报信息
标题: CVE-2026-#####.md · GitHub -- 🔗来源链接
标签:exploit
神龙速读:### 关键信息概览 - **漏洞类型**: 存储型HTML注入 - **影响产品**: E-Learning System (CAIWL) - **版本**: v1.0 - **利用风险**: 中等到高 - **CVE ID**: CVE-2026-NNNN (尚未指定) ### 漏洞概述 在E-Learning System (CAIWL) v1.0中发现了一个存储型的HTML注入漏洞。由于描述和标题字段的用户输入未被正确处理,使得认证的攻击者可以注入HTML标签并存储在数据库中,当管理员或用户查看受影响课程时会在浏览器中渲染。这一漏洞可以引发网站篡改、内容欺骗和钓鱼风险。 ### 技术细节 利用了Lesson Title和Description参数在创建课程接口方面的不足处理。攻击者可以使用如下手段: 1. 输入处理: 应用接收原始HTML在文本输入框内。 2. 存储: 恶意输入则直接保存在后端数据库中。 3. 渲染: 当课程被查看时,浏览器将这些HTML标签作为有效标记执行。 ### 利用方式 - **URL**: [http://localhost/caiwl/admin/modules/lesson/index.php](http://localhost/caiwl/admin/lessons/index.php) - **注入**: 在Title输入框中插入`<marquee>Marquee Poc by 0xCaptainFahim</marquee>` - **验证**: 访问课程查看详情页,文字会滚动表示HTML标记成功渲染。 ### 影响评估 - **网站篡改**: 攻击者可以改变应用的外观。 - **内容欺骗**: 信息展示的操纵以传播误导信息。 - **钓鱼风险**: 投入虚假表单或误导链接以欺骗用户。
标题: Free Source Code Projects and Tutorials - sourcecodester.com -- 🔗来源链接
标签:product
标题: Login required -- 🔗来源链接
标签:signaturepermissions-required
神龙速读:### 漏洞关键信息 - **漏洞名称** SourceCodester E-Learning System 1.0 Lesson index.php Title/Description cross site scripting - **漏洞类型** 跨站脚本 (XSS) - **相关漏洞编号** - VDB-341747 - CVE-2026-1154 - GCVE-100-341747 - **系统版本** E-Learning System 1.0 - **受影响的文件** Lesson index.php - **攻击类型** Title/Description导致的跨站脚本 - **其他信息** 需要登录才能查看详细信息,包括漏洞的描述、历史、差异和JSON/XML格式的数据。
- https://vuldb.com/?id.341747vdb-entrytechnical-description
标题: Submit #735855: SourceCodester E-Learning System (CAIWL) 1.0 Stored HTML Injection Vulnerability -- 🔗来源链接
标签:third-party-advisory
神龙速读:- **漏洞标题**: SourceCodester E-Learning System (CAIWL) 1.0 Stored HTML Injection Vulnerability - **描述**: - 发现了SourceCodester E-Learning System (CAIWL) v1.0中的一个存储型HTML注入漏洞。该应用程序未能正确地对Lesson Module描述和标题字段的用户输入进行清理。这使得经过身份验证的攻击者可以将任意HTML标签注入到应用程序中,这些标签随后会被存储在数据库中,并在管理员或用户查看受影响的课程时由浏览器呈现。此漏洞可导致网页降级、内容欺骗和潜在的网络钓鱼攻击。 - **来源**: - [https://gist.github.com/0xCaptainFahim/dada955760b424a851de12bccadee997](https://gist.github.com/0xCaptainFahim/dada955760b424a851de12bccadee997) - **提交人**: - 0xCaptainFahim (UID 86447) - **提交日期**: - 2023年1月10日上午7:57 (10天前) - **审核日期**: - 2023年1月18日下午3:05 (8天后) - **状态**: - 已接受 - **VulDB条目**: - [341747](https://vuldb.com/?id.341747) ([SourceCodester E-Learning System 1.0 Lesson index.php File Title/Description CrossSite Scripting]) - **积分**: - 20
- https://nvd.nist.gov/vuln/detail/CVE-2026-1154
四、漏洞 CVE-2026-1154 的评论
暂无评论