CVE-2026-35009— tickets 跨站脚本漏洞
Possible ATT&CK Techniques 3AI
T1189 · Drive-by Compromise T1071.001 · Web Protocols T1059.007 · JavaScript新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-35009の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Open ISES Tickets < 3.44.2 Reflected XSS via add_note.php ticket_id Parameter
ソース: NVD (National Vulnerability Database)
脆弱性説明
Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in add_note.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the ticket_id GET parameter directly into a hidden input field VALUE attribute. Attackers can craft a malicious URL containing a JavaScript payload in the ticket_id parameter that executes in the victim's browser when the URL is visited.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
tickets 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
tickets是Open ISES开源的一款公共安全调度管理与追踪应用。 tickets 3.44.2之前版本存在跨站脚本漏洞,该漏洞源于add_note.php中存在反射型跨站脚本漏洞,可能导致已认证攻击者通过ticket_id GET参数传递未清理值直接注入隐藏输入字段VALUE属性,从而注入任意JavaScript。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-35009の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-35009のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-35009 厂商安全公告 (1)
CVE-2026-35009 厂商页面 (1)
Same Patch Batch · openises · 2026-05-20 · 10 CVEs total
| CVE-2026-35011 | 4.6 MEDIUM | Open ISES Tickets < 3.44.2 Reflected XSS via opena.php frm_call Parameter |
| CVE-2026-35015 | 4.6 MEDIUM | Open ISES Tickets < 3.44.2 Reflected XSS via do_unit_mail.php the_ticket Parameter |
| CVE-2026-35012 | 4.6 MEDIUM | Open ISES Tickets < 3.44.2 Reflected XSS via add_facnote.php ticket_id Parameter |
| CVE-2026-35016 | 4.6 MEDIUM | Open ISES Tickets < 3.44.2 Reflected XSS via search.php frm_query Parameter |
| CVE-2026-35007 | 4.6 MEDIUM | Open ISES Tickets < 3.44.2 Reflected XSS via single_unit.php id Parameter |
| CVE-2026-35014 | 4.6 MEDIUM | Open ISES Tickets < 3.44.2 Reflected XSS via routes_nm.php ticket_id Parameter |
| CVE-2026-35013 | 4.6 MEDIUM | Open ISES Tickets < 3.44.2 Reflected XSS via street_view.php thelat and thelng Parameters |
| CVE-2026-35010 | 4.6 MEDIUM | Open ISES Tickets < 3.44.2 Reflected XSS via patient_JF.php ticket_id Parameter |
| CVE-2026-35008 | 4.6 MEDIUM | Open ISES Tickets < 3.44.2 Reflected XSS via single.php ticket_id Parameter |
IV. 関連脆弱性
同じ製品: tickets
- CVE-2026-48249
Open ISES Tickets < 3.44.2 Disabled TLS Certificate Verifica - CVE-2026-48248
Open ISES Tickets < 3.44.2 Disabled TLS Certificate Verifica - CVE-2026-48247
Open ISES Tickets < 3.44.2 Disabled TLS Certificate Verifica - CVE-2026-48246
Open ISES Tickets < 3.44.2 Disabled TLS Certificate Verifica - CVE-2026-48245
Open ISES Tickets < 3.44.2 Hardcoded Google Maps API Key in
同じベンダー: openises
- CVE-2026-35016
Open ISES Tickets < 3.44.2 Reflected XSS via search.php frm_ - CVE-2026-35015
Open ISES Tickets < 3.44.2 Reflected XSS via do_unit_mail.ph - CVE-2026-35014
Open ISES Tickets < 3.44.2 Reflected XSS via routes_nm.php t - CVE-2026-35013
Open ISES Tickets < 3.44.2 Reflected XSS via street_view.php - CVE-2026-35012
Open ISES Tickets < 3.44.2 Reflected XSS via add_facnote.php
同じ弱点: CWE-79
- CVE-2018-25349
userSpice 4.3.24 Cross-Site Scripting via X-Forwarded-For He - CVE-2026-41147
NukeViet CMS: Stored Cross-Site Scripting (XSS) via insuffic - CVE-2026-40607
MantisBT is Vulnerable to Stored XSS Through its Saved-Filte - CVE-2026-40598
MantisBT has Potential Referer-Based Reflected HTML Injectio - CVE-2026-40597
MantisBT has a Content Security Policy bypass via attachment
V. CVE-2026-35009へのコメント
まだコメントはありません