무슨 일이 있었나
CVE-2026-12176은 2026년 6월 14일 NVD에 의해 공개되었습니다 (CVSS 4.3 MEDIUM). AI 예측 분석 기능이 있는 SourceCodester CET Automated Grading System 1.0은 /index.php 엔드포인트에 반사형 크로스사이트 스크립팅 취약점을 포함하고 있습니다. 'action' 인자의 조작을 통해 원격 공격자는 피해자의 브라우저에서 임의의 JavaScript를 주입하고 실행할 수 있습니다. 이 공격은 원격으로 악용 가능하며 VulDB를 통해 보고되었습니다.
왜 중요한가
이 제품은 AI 기반 채점 및 예측 분석 시스템으로 마케팅하고 있습니다. Reflected XSS를 통해 공격자는 강사나 관리자를 대상으로 악의적인 링크를 만들고, 세션 자격증명을 탈취하며, AI가 생성한 학생 성과 분석 또는 성적 기록에 접근할 수 있습니다. 영향은 제한적인 배포 범위 (SourceCodester의 단일 버전 교육 소프트웨어) 및 알려진 악용 사례의 부재로 인해 제한됩니다.
공격 경로
원격 공격자가 /index.php의 'action' 파라미터에 주입된 스크립트가 포함된 악의적인 URL을 만듭니다. 피해자 (예: 강사)가 링크를 클릭하면 스크립트가 해당 브라우저 세션에서 실행됩니다.
영향받는 시스템
SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0
완화 방안
공개 당시 사용 가능한 패치 없음. 애플리케이션을 공개적으로 노출하지 마십시오. WAF 규칙을 적용하여 action 파라미터의 스크립트 주입을 차단하십시오. VulDB 참조: https://vuldb.com/cve/CVE-2026-12176