CVE-2026-5325: SourceCoderster CRM 1.0 描述参数XSS漏洞

根据用户的要求，我需要从提供的网页截图中提取关于漏洞的关键信息，并用简洁的中文markdown格式进行总结。 **1. 漏洞概述 (Vulnerability Overview):** * **标题:** SOURCECODESTER SIMPLE CUSTOMER RELATIONSHIP MANAGEMENT SYSTEM 1.0 CREATE TICKET /CREATE-TICKET.PHP DESCRIPTION CROSS SITE SCRIPTING * **CVE编号:** CVE-2026-5325 (在标题下方和正文中都有提到) * **漏洞类型:** 跨站脚本 (Cross Site Scripting - XSS) * **受影响组件:** `create-ticket.php` 文件中的 `Create Ticket` 组件。 * **具体原因:** `Description` 参数被未正确净化（manipulation of the argument Description leads to cross site scripting）。 * **CVSS评分:** 3.2 (Low/Medium range, though the bar shows green/yellow split, text says 3.2) * **当前利用价格:** $0-$5k * **CTI兴趣评分:** 1.38 **2. 影响范围 (Impact):** * **受影响产品:** SourceCoderster Simple Customer Relationship Management System 1.0 * **影响描述:** 攻击者可以远程执行此攻击。存在利用代码（exploit exists）。 * **后果:** 导致跨站脚本攻击（XSS）。如果产品没有正确地在输出前对用户可控输入进行净化，可能会影响完整性（Impacted is integrity）。 **3. 修复方案 (Remediation):** * **建议:** 使用 CWE-79 (跨站脚本) 来声明问题。 * **具体操作:** 产品需要净化或错误地中和用户可控输入，在将其作为网页内容提供给其他用户之前（The product does not neutralize or incorrectly neutralizes user-controllable input before it is placed in output that is used as a web page that is served to other users）。 **4. 代码提取 (Code Extraction):** * 仔细检查截图，正文中提到了文件路径 `create-ticket.php` 和参数 `Description`，但**没有**提供具体的 POC 代码块或利用代码块。只有文字描述。 **5. 格式化输出:** * 将上述信息整理成 Markdown 格式。 * 确保语言为中文。 * 不包含分析过程。 **Drafting the response:** * **标题:** CVE-2026-5325: SourceCoderster Simple Customer Relationship Management System 1.0 跨站脚本漏洞 * **漏洞概述:** 在 SourceCoderster Simple Customer Relationship Management System 1.0 的 `create-ticket.php` 文件中发现了一个被归类为“有问题”（problematic）的漏洞。该漏洞位于 `Create Ticket` 组件中，由于 `Description` 参数未被正确净化，导致跨站脚本（XSS）攻击。 * **影响范围:** * **受影响版本:** SourceCoderster Simple Customer Relationship Management System 1.0 * **CVSS 评分:** 3.2 * **利用难度:** 可远程执行，且已知存在利用代码（exploit exists）。 * **后果:** 影响完整性（Integrity）。 * **修复方案:** 产品需要在将用户可控输入作为网页内容提供给其他用户之前，对其进行正确的净化或中和（neutralize）。 * **POC/利用代码:** 截图中未包含具体的代码块，仅提及了受影响的文件路径和参数。 Refining for conciseness and strict adherence to instructions. ### 漏洞关键信息总结 **漏洞概述** * **CVE编号:** CVE-2026-5325 * **漏洞名称:** SourceCoderster Simple Customer Relationship Management System 1.0 Create Ticket /create-ticket.php Description Cross Site Scripting * **漏洞类型:** 跨站脚本 (Cross Site Scripting / XSS) * **CVSS评分:** 3.2 * **描述:** 在 SourceCoderster Simple Customer Relationship Management System 1.0 的 `create-ticket.php` 文件中发现了一个漏洞。该漏洞位于 `Create Ticket` 组件中，由于 `Description` 参数未被正确净化，导致跨站脚本攻击。 **影响范围** * **受影响产品:** SourceCoderster Simple Customer Relationship Management System 1.0 * **攻击方式:** 可远程执行 (The attack can be executed remotely)。 * **利用状态:** 已知存在利用代码 (Additionally, an exploit exists)。 * **后果:** 影响完整性 (Impacted is integrity)。 **修复方案** * **建议措施:** 产品需要在将用户可控输入作为网页内容提供给其他用户之前，对其进行正确的净化或中和 (The product does not neutralize or incorrectly neutralizes user-controllable input before it is placed in output that is used as a web page that is served to other users)。 * **相关 CWE:** CWE-79 (跨站脚本)。 **POC/利用代码** * 截图中未包含具体的 POC 代码块或利用代码，仅提及了受影响的文件路径 `create-ticket.php` 和参数 `Description`。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-5325: SourceCoderster CRM 1.0 描述参数XSS漏洞

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-5325: SourceCoderster CRM 1.0 描述参数XSS漏洞

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！