Online Exam Mastering System
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
6.1
Макс. EPSS
0.00722
Распределение по критичности
Критический
0
Высокий
0
Средний
5
Низкий
0
Также сопоставлено как (исходные строки): online_exam_mastering_system
Топ уязвимостей
CVE-2025-46173Кодовые проекты Online Exam Mastering System 1.0 уязвимы для Cross Site Scripting (XSS) через поле имен в форме обратной связи.
CVE-2025-28121Система Online Exam Mastering System 1.0 уязвима к межсайтовому скриптингу (XSS) в файле feedback.php через параметр "q", что позволяет удаленным злоумышленникам выполнить произвольный код. Эта проблема позволяет злоумышленникам внедрять вредоносный JavaScript в приложение, который отражается в ответе без надлежащей очистки или кодирования. Успешная эксплуатация может привести к краже cookie, захвату учетной записи или другим атакам на стороне клиента. Для эксплуатации уязвимости можно использовать специально сформированные URL, такие как 'http://localhost/exam/feedback.php?q=<script>alert('XSS')</script>' [1].
Источники:
- [1] https://code-projects.org/online-exam-mastering-system-php/
- [2] https://github.com/pruthuraut/CVE-2025-28121
CVE-2024-12892Проблемная уязвимость обнаружена в code-projects Online Exam Mastering System 1.0. Эта уязвимость затрагивает неизвестную функциональность файла /sign.php?q=account.php. Манипулирование аргументом name/gender/college приводит к межсайтовому скриптингу. Атака может быть осуществлена удаленно. Эксплойт был обнародован и может быть использован.
CVE-2024-12891Критическая уязвимость обнаружена в code-projects Online Exam Mastering System 1.0. Уязвимой является неизвестная функция файла /account.php?q=quiz\u0026step=2. Манипулирование аргументом eid приводит к SQL-инъекции. Атаку можно осуществить удаленно. Эксплойт был обнародован и может быть использован.
CVE-2024-12890Уязвимость обнаружена в code-projects Online Exam Mastering System 1.0. Ей присвоена критическая оценка. Эта проблема затрагивает некоторую неизвестную обработку файла /update.php?q=quiz\u0026step=2. Манипулирование аргументом eid приводит к SQL-инъекции. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован.