何が起きたか
CVE-2026-12176 は 2026年6月14日に NVD により公開されました (CVSS 4.3 MEDIUM)。SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0 には /index.php エンドポイントに反射型クロスサイトスクリプティング脆弱性が含まれています。'action' 引数の操作により、リモート攻撃者は被害者のブラウザで任意の JavaScript を注入・実行できます。この攻撃はリモートから悪用可能であり、VulDB を経由して報告されました。
なぜ重要か
このプロダクトは AI 駆動の採点および予測分析システムとしてマーケティングされています。反射型 XSS により、攻撃者は教員または管理者を標的とした悪意のあるリンクを作成でき、セッション認証情報を盗み、AI が生成した学生の成績分析またはグレード記録へのアクセスを取得できます。影響は限定的です。これは SourceCodester からの単一バージョン教育用ソフトウェアという限定的なデプロイメント範囲と、既知の悪用がないことによるものです。
攻撃経路
リモート攻撃者が /index.php の 'action' パラメータに注入されたスクリプトを含む悪意のある URL を作成します。被害者 (例: 教員) がリンクをクリックすると、スクリプトが被害者のブラウザセッションで実行されます。
影響を受けるシステム
SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0
緩和策
開示時点でパッチは利用不可です。アプリケーションをパブリックに公開しないようにしてください。action パラメータのスクリプト注入をブロックするよう WAF ルールを適用してください。VulDB リファレンス: https://vuldb.com/cve/CVE-2026-12176