kirilkirkov Ecommerce-CodeIgniter-Bootstrap até 49b20f53de2b7ec34e920b11c863f1491d911a04 Hidden REST API Endpoint set title/description Script de Site Cruzado
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 3.9 | $0-$5k | 1.24 |
Sumário
Uma vulnerabilidade foi encontrada em kirilkirkov Ecommerce-CodeIgniter-Bootstrap até 49b20f53de2b7ec34e920b11c863f1491d911a04. Foi classificada como problemático. O elemento afetado é uma função não identificada no arquivo /index.php/api/product/set no componente Hidden REST API Endpoint. A manipulação do argumento title/description resulta em Script de Site Cruzado. Esta vulnerabilidade é identificada como CVE-2026-14633. O ataque pode ser iniciado a partir da rede. Além disso, um exploit está disponível. Este produto está usando um sistema de rolling release para disponibilizar entregas contínuas. Assim, não existem informações sobre versões afetadas ou atualizadas. Recomenda-se instalar um patch para corrigir esta vulnerabilidade.
Detalhes
Uma vulnerabilidade foi encontrada em kirilkirkov Ecommerce-CodeIgniter-Bootstrap até 49b20f53de2b7ec34e920b11c863f1491d911a04. Foi classificada como problemático. O elemento afetado é uma função não identificada no arquivo /index.php/api/product/set no componente Hidden REST API Endpoint. A manipulação do argumento title/description resulta em Script de Site Cruzado. O uso do CWE para declarar o problema aponta para CWE-79. Esta vulnerabilidade foi publicada como GHSA-8q62-q8qx-j49g. O comunicado foi disponibilizado para download em github.com.
Esta vulnerabilidade é identificada como CVE-2026-14633. O ataque pode ser iniciado a partir da rede. Há detalhes técnicos disponíveis. Esta vulnerabilidade apresenta popularidade inferior à média. Além disso, um exploit está disponível. O exploit foi exposto ao público e pode ser aproveitado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O projeto MITRE ATT&CK define a técnica de ataque como T1059.007.
Encontra-se declarado como prova de conceito. O exploit está disponível para download em github.com.
Este produto está usando um sistema de rolling release para disponibilizar entregas contínuas. Assim, não existem informações sobre versões afetadas ou atualizadas. O patch chama-se d9785f995da77bdc62fb2d34bad5f7a162c9ad23. O patch pode ser baixado em github.com. Recomenda-se instalar um patch para corrigir esta vulnerabilidade.
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔒VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 4.3VulDB Meta Pontuação Temporária: 3.9
VulDB Pontuação Base: 4.3
VulDB Pontuação Temporária: 3.9
VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔒
VulDB Pontuação Temporária: 🔒
VulDB Fiabilidade: 🔍
Exploração
Classe: Script de Site CruzadoCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔒
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔒
Tendência de preços: 🔍
Estimativa de preço atual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: PatchEstado: 🔍
Tempo 0-dia: 🔒
Patch: d9785f995da77bdc62fb2d34bad5f7a162c9ad23
Linha do tempo
03/07/2026 Aviso publicado03/07/2026 Entrada VulDB criada
03/07/2026 Última atualização da VulDB
Fontes
Produto: github.comAconselhamento: GHSA-8q62-q8qx-j49g
Estado: Confirmado
CVE: CVE-2026-14633 (🔒)
GCVE (CVE): GCVE-0-2026-14633
GCVE (VulDB): GCVE-100-376148
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrada
Criado: 03/07/2026 19h29Ajustamentos: 03/07/2026 19h29 (62)
Completo: 🔍
Cache ID: 216::103
Submeter
Aceite
- Submeter #845903: kirilkirkov Ecommerce-CodeIgniter-Bootstrap master Cross Site Scripting (de github.com)
Once again VulDB remains the best source for vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.