何が起きたか
CVE-2026-12176 は NVD により 2026 年 6 月 14 日に公開されました (CVSS 4.3 MEDIUM)。SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0 には /index.php エンドポイントに反射型クロスサイトスクリプティング脆弱性が存在します。'action' 引数の操作により、リモート攻撃者は被害者のブラウザで任意の JavaScript を挿入・実行できます。この攻撃はリモートから悪用可能であり、VulDB 経由で報告されました。
なぜ重要か
本製品は AI 駆動型の採点および予測分析システムとして販売されています。反射型 XSS により攻撃者は教員または管理者を標的とした悪意のあるリンクを作成し、セッション認証情報を盗取して、AI 生成の学生成績分析または成績記録へのアクセスを取得できます。影響は限定的です (SourceCodester の単一バージョン教育ソフトウェアのニッチな展開範囲) であり、既知の悪用はありません。
攻撃経路
リモート攻撃者が /index.php の 'action' パラメータに挿入スクリプトを含む悪意のある URL を作成し、被害者 (教員など) がリンクをクリックするとスクリプトが被害者のブラウザセッションで実行される
影響を受けるシステム
SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0
緩和策
開示時点でパッチは利用不可。アプリケーションを公開で公開することを避け、action パラメータのスクリプトインジェクションをブロックする WAF ルールを適用してください。VulDB リファレンス: https://vuldb.com/cve/CVE-2026-12176