Apa yang terjadi
CVE-2026-12176 dipublikasikan oleh NVD pada 14 Juni 2026 (CVSS 4.3 MEDIUM). SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0 mengandung kerentanan reflected cross-site scripting di endpoint /index.php. Manipulasi argumen 'action' memungkinkan penyerang jarak jauh untuk menyuntikkan dan mengeksekusi JavaScript arbitrer di browser korban. Serangan dapat dimanfaatkan dari jarak jauh dan dilaporkan melalui VulDB.
Mengapa penting
Produk ini memasarkan dirinya sebagai sistem penilaian bertenaga AI dan analitik prediktif. Reflected XSS memungkinkan penyerang membuat tautan berbahaya yang menargetkan instruktur atau administrator, mencuri kredensial sesi, dan mendapatkan akses ke analitik kinerja siswa yang dihasilkan AI atau catatan nilai. Dampaknya dibatasi oleh footprint penerapan khusus (perangkat lunak pendidikan versi tunggal dari SourceCodester) dan kurangnya eksploitasi yang diketahui.
Vektor serangan
Penyerang jarak jauh membuat URL berbahaya dengan skrip yang disuntikkan dalam parameter 'action' dari /index.php; korban (misalnya, instruktur) mengklik tautan dan skrip dieksekusi dalam sesi browser mereka
Sistem yang terdampak
SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0
Mitigasi
Tidak ada patch yang tersedia hingga pengungkapan. Hindari pemaparan aplikasi secara publik; terapkan aturan WAF untuk memblokir penyuntikan skrip dalam parameter action. Referensi VulDB: https://vuldb.com/cve/CVE-2026-12176