事件经过
CVE-2026-12176 由 NVD 于 2026 年 6 月 14 日发布 (CVSS 4.3 中)。SourceCodester CET 自动评分系统与 AI 预测分析 1.0 在 /index.php 端点中包含反射型跨站脚本漏洞。"action"参数的操作允许远程攻击者在受害者的浏览器中注入并执行任意 JavaScript。该攻击可远程利用,通过 VulDB 报告。
影响分析
该产品将自己宣传为 AI 驱动的评分和预测分析系统。反射型 XSS 允许攻击者精心制作面向教师或管理员的恶意链接,窃取会话凭证并获得对 AI 生成的学生绩效分析或成绩记录的访问权限。影响受到利基部署范围 (来自 SourceCodester 的单一版本教育软件) 和缺乏已知利用的限制。
攻击途径
远程攻击者精心制作恶意 URL,在 /index.php 的"action"参数中注入脚本;受害者 (例如教师) 点击该链接,脚本在其浏览器会话中执行
受影响系统
SourceCodester CET 自动评分系统与 AI 预测分析 1.0
缓解措施
截至披露,无可用补丁。避免公开暴露该应用程序;应用 WAF 规则以阻止 action 参数中的脚本注入。VulDB 参考:https://vuldb.com/cve/CVE-2026-12176