SourceCodester 药房系统 XSS 漏洞 CVE-2026-8136 发布

执行摘要

在SourceCodester Pharmacy Sales and Inventory System 1.0中披露了一个存储型跨站脚本（XSS）漏洞，跟踪编号为CVE-2026-8136。该漏洞被分配了一个CVSS v3.1基础得分3.3（低），存在于/index.php?page=users端点，并可以通过操纵Name参数触发。根据NVD列表和研究员timeflies123的披露报告，已在GitHub上发布了一个漏洞利用概念验证。该漏洞可以远程利用，无需认证，尽管其低严重性评级反映了XSS向量在应用程序预期部署环境中的有限影响。

技术分析

CVE-2026-8136影响SourceCodester Pharmacy Sales and Inventory System版本1.0，这是一个基于PHP的Web应用程序，通常被小型药店用于库存跟踪和销售管理。该漏洞是一个存储（持久性）XSS条件，存在于用户管理界面。攻击者可以在通过/index.php?page=users页面创建或编辑用户记录时，将任意JavaScript注入到Name字段。注入的脚本存储在服务器端，并在任何管理员或用户随后查看受影响的用户列表时在浏览器中执行。

由于攻击是存储型的而不是反射型的，单一注入可以破坏多个管理会话，无需超出对用户管理表单的初始访问之外的社会工程学。发布在GitHub上的漏洞代码，托管在timeflies123/cve仓库下，展示了注入向量。NVD条目确认攻击是基于网络的（AV:N），攻击复杂度低（AC:L），无需特权（PR:N），并且初始注入不需要用户交互（UI:N），尽管XSS有效载荷只有在受害者查看页面时才会触发。

CVSS 3.3得分反映了影响的有限范围：该漏洞不会直接暴露敏感的数据库内容或启用远程代码执行。然而，在典型的药店环境中，应用程序可以在内部网络上访问或通过VPN访问，XSS有效载荷可以用来窃取会话cookie，代表已登录用户执行管理操作，或破坏管理界面。研究员的报告没有指明应用程序是否实现了内容安全策略（CSP）头或输出编码，这两者都可以减轻这类攻击。

SourceCodester是为小型企业提供低成本PHP脚本的知名供应商。他们的产品经常出现在漏洞数据库中，因为安全硬化有限。针对SourceCodester应用程序的先前CVE包括SQL注入和类似库存和销售点系统的XSS漏洞。

缓解措施与建议

运行SourceCodester Pharmacy Sales and Inventory System 1.0的管理员应立即审查用户管理界面，以查找可能表明被利用的任何未经授权的条目。由于截至发布时尚未发布官方补丁，主要的缓解措施是将应用程序的网络访问限制在受信任的IP范围内，并实施一个Web应用程序防火墙（WAF）规则，该规则阻止在Name参数中阻止脚本标签或事件处理程序属性。对于拥有开发资源的组织，在存储和显示之前，在Name字段上添加服务器端输入验证和HTML实体编码将完全消除XSS向量。鉴于有效载荷的存储性质，监控认证日志以查找意外的管理操作也是明智的。