CVE-2026-12176
Moderat

CVE-2026-12176: XSS i SourceCodester karaktersystem

Sårbarhed i SourceCodester’s karaktergivningssystem giver angribere mulighed for at injicere skadeligt kode via websiden.

CVSS Score
4.3
Offentliggjort
14/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handl inden for 1-2 uger

Hvad er det?

CVE-2026-12176 er en såkaldt cross-site scripting-sårbarhed (XSS) i SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0. XSS betyder, at en angriber kan indlejre ondsindet kode (typisk JavaScript) i en webside, som derefter udføres i offerets browser, når brugeren besøger eller interagerer med siden. Sårbarheden findes i filen /index.php, hvor parameteren action ikke håndteres sikkert. Der er også identificeret en potentiel kodeinjektions-fejl (CWE-94), hvilket betyder, at angriberen muligvis kan få systemet til at udføre uautoriserede kommandoer. Exploit-koden er offentligt tilgængelig.

Hvem rammer det?

Sårbarheden rammer organisationer og institutioner — primært uddannelsessteder og skoler — der anvender SourceCodester CET Automated Grading System with AI Predictive Analytics version 1.0. Det kan dreje sig om private skoler, kursusudbydere eller SMV’er, der bruger dette system til at håndtere karakterer og studieresultater. Brugere af systemet, som klikker på et manipuleret link eller besøger en kompromitteret side, er i risikogruppen.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan vedkommende:

  • Stjæle login-cookies og overtage brugernes sessioner (dvs. logge ind som dem uden kodeord)
  • Omdirigere brugere til falske sider for at snyde dem til at afgive loginoplysninger
  • Vise falsk eller manipuleret information i systemet, f.eks. ændrede karakterer
  • I kombination med kodeinjektionsfejlen (CWE-94) potentielt udføre uautoriserede handlinger på serveren

Angrebet kræver, at offeret selv interagerer med et ondsindet link eller en manipuleret side, men dette er let at orkestrere via f.eks. en phishing-e-mail.

Hvor alvorligt er det?

Sårbarheden er vurderet til moderat (CVSS 4.3 ud af 10). Den kræver ikke, at angriberen er logget ind på forhånd, og angrebet kan udføres over internettet. Til gengæld kræves der en brugerinteraktion — offeret skal selv klikke på noget. Påvirkningen er primært på integriteten (data kan manipuleres), mens fortrolighed og tilgængelighed ikke direkte trues. Det faktum, at exploit-koden er offentligt tilgængelig, hæver den reelle risiko i praksis.

Hvad gør jeg nu?

Følg disse trin for at beskytte din organisation:

  1. Undersøg om I bruger systemet: Tjek om din organisation anvender SourceCodester CET Automated Grading System version 1.0.
  2. Begræns adgangen: Hvis muligt, begræns adgangen til systemet til kun kendte og betroede netværk eller brugere, indtil en opdatering foreligger.
  3. Advær dine brugere: Informér medarbejdere og brugere om ikke at klikke på uventede links, der fører til systemets loginside.
  4. Følg med i opdateringer: Hold øje med SourceCodesters officielle kanaler for sikkerhedsopdateringer og installér dem straks, når de udgives.
  5. Overvej alternativ software: Hvis leverandøren ikke udsender en patch hurtigt, bør du overveje at skifte til et aktivt vedligeholdt system.
  6. Kontakt en sikkerhedskonsulent: Er du usikker på din eksponering, så få en fagperson til at gennemgå din opsætning.
Tidsfrist

Handl inden for 1-2 uger

Sådan ser Auroa det

Da exploit-koden allerede er offentligt tilgængelig, er risikoen for faktiske angreb reel — selv mod mindre organisationer. Vi anbefaler, at du straks begrænser adgangen til systemet og informerer dine brugere om ikke at klikke på mistænkelige links. Følg løbende op på, om SourceCodester udgiver en sikkerhedsopdatering, og installér den hurtigst muligt. Har du brug for hjælp til at vurdere din eksponering, er du velkommen til at kontakte os.

Tidslinje

14/06/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2026-12176 med en CVSS-score på 4.3 (moderat). Sårbarheden beskrives som en XSS-fejl i SourceCodester CET Automated Grading System 1.0.
14/06/2026
Exploit-kode offentliggjort
Ifølge NVD-beskrivelsen er exploit-koden allerede offentligt tilgængelig på tidspunktet for CVE-offentliggørelsen, hvilket øger risikoen for aktiv udnyttelse markant.
14/06/2026
Ingen patch tilgængelig
På offentliggørelsestidspunktet er der ingen bekræftet sikkerhedsopdatering fra SourceCodester. Brugere opfordres til at implementere midlertidige sikkerhedsforanstaltninger.

Konkrete eksempler

Phishing via manipuleret link

En angriber konstruerer et særligt udformet link til systemets /index.php-side med ondsindet JavaScript indlejret i action-parameteren. Linket sendes til en lærer eller administrator via e-mail. Når modtageren klikker på linket, udføres koden i vedkommendes browser og sender login-cookien til angriberen, som derefter kan overtage kontoen uden at kende adgangskoden.

Manipulation af karakterdata

En elev eller ekstern aktør udnytter XSS-fejlen til at indlejre et script, der viser forfalsket karakterdata til andre brugere, der besøger siden. Dette kan bruges til at skabe forvirring, mistillid til systemet eller i yderste konsekvens til at snytte med karakterresultater. Kombineret med kodefejlen (CWE-94) kan der potentielt ændres data direkte på serveren.

Omdirigering til falsk loginside

Angriberen injicerer JavaScript-kode, der automatisk omdirigerer brugeren til en forfalsket loginside, der ligner det rigtige system. Brugeren indtaster sit brugernavn og kodeord, som opsamles af angriberen. Med disse oplysninger kan angriberen logge ind på det rigtige system og tilgå eller manipulere studiedata.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
NONE
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

CWE-svaghedstyper

CWE-79
CWE-94

Original NVD-beskrivelse (engelsk)

A vulnerability has been found in SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0. The impacted element is an unknown function of the file /index.php. The manipulation of the argument action leads to cross site scripting. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
4.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-12176
Offentliggjort
14/06/2026
Sidst opdateret
14/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handl inden for 1-2 uger

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.