CVE-2026-47324 in school-management-system
要約
〜によって VulDB • 2026年06月03日
ProjectsAndPrograms school-management-systemには、生徒および教員オブジェクトの複数の属性における格納型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。認証済み攻撃者(例:教員または管理者)は、他のユーザーのブラウザで後に実行される悪意のあるJavaScriptを注入できます。
重要なのは、CVE-2025-11661(バックエンドエンドポイントへの認証不要アクセスを可能にする)と組み合わされた場合、この脆弱性は権限を持たないリモート攻撃者によって悪用され、任意のJavaScriptを注入・実行できることです。
メンテナーはこの脆弱性について早期に通知されていましたが、影響を受けるバージョンに関する詳細は提供されていません。コミット6b6fae5に対応するバージョンがテストされ、脆弱性が確認されました。他のバージョンはテストされておらず、影響を受ける可能性があります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.