Apa yang terjadi
CVE-2026-12176 dipublikasikan oleh NVD pada 14 Juni 2026 (CVSS 4.3 MEDIUM). SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0 mengandung kerentanan cross-site scripting reflektif pada endpoint /index.php. Manipulasi argumen 'action' memungkinkan penyerang jarak jauh untuk menyuntikkan dan menjalankan JavaScript sembarang di browser korban. Serangan dapat dieksploitasi dari jarak jauh dan dilaporkan melalui VulDB.
Mengapa penting
Produk ini memasarkan dirinya sebagai sistem penilaian bertenaga AI dan analitik prediktif. Reflected XSS memungkinkan penyerang untuk membuat tautan berbahaya yang menargetkan instruktur atau administrator, mencuri kredensial sesi, dan mendapatkan akses ke analitik kinerja siswa yang dihasilkan AI atau catatan nilai. Dampaknya dibatasi oleh jejak penerapan yang spesifik (perangkat lunak pendidikan versi tunggal dari SourceCodester) dan kurangnya eksploitasi yang diketahui.
Vektor serangan
Penyerang jarak jauh membuat URL berbahaya dengan skrip yang disuntikkan dalam parameter 'action' dari /index.php; korban (misalnya, instruktur) mengklik tautan dan skrip dieksekusi dalam sesi browser mereka
Sistem yang terdampak
SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0
Mitigasi
Tidak ada patch yang tersedia pada saat pengungkapan. Hindari ekspos aplikasi ke publik; terapkan aturan WAF untuk memblokir injeksi skrip dalam parameter action. Referensi VulDB: https://vuldb.com/cve/CVE-2026-12176