CVE-2026-12176: XSS i SourceCodester karaktersystem
Sårbarhed i SourceCodester’s karaktergivningssystem giver angribere mulighed for at injicere skadeligt kode via websiden.
Hvad er det?
CVE-2026-12176 er en såkaldt cross-site scripting-sårbarhed (XSS) i SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0. XSS betyder, at en angriber kan indlejre ondsindet kode (typisk JavaScript) i en webside, som derefter udføres i offerets browser, når brugeren besøger eller interagerer med siden. Sårbarheden findes i filen /index.php, hvor parameteren action ikke håndteres sikkert. Der er også identificeret en potentiel kodeinjektions-fejl (CWE-94), hvilket betyder, at angriberen muligvis kan få systemet til at udføre uautoriserede kommandoer. Exploit-koden er offentligt tilgængelig.
Hvem rammer det?
Sårbarheden rammer organisationer og institutioner — primært uddannelsessteder og skoler — der anvender SourceCodester CET Automated Grading System with AI Predictive Analytics version 1.0. Det kan dreje sig om private skoler, kursusudbydere eller SMV’er, der bruger dette system til at håndtere karakterer og studieresultater. Brugere af systemet, som klikker på et manipuleret link eller besøger en kompromitteret side, er i risikogruppen.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan vedkommende:
- Stjæle login-cookies og overtage brugernes sessioner (dvs. logge ind som dem uden kodeord)
- Omdirigere brugere til falske sider for at snyde dem til at afgive loginoplysninger
- Vise falsk eller manipuleret information i systemet, f.eks. ændrede karakterer
- I kombination med kodeinjektionsfejlen (CWE-94) potentielt udføre uautoriserede handlinger på serveren
Angrebet kræver, at offeret selv interagerer med et ondsindet link eller en manipuleret side, men dette er let at orkestrere via f.eks. en phishing-e-mail.
Hvor alvorligt er det?
Sårbarheden er vurderet til moderat (CVSS 4.3 ud af 10). Den kræver ikke, at angriberen er logget ind på forhånd, og angrebet kan udføres over internettet. Til gengæld kræves der en brugerinteraktion — offeret skal selv klikke på noget. Påvirkningen er primært på integriteten (data kan manipuleres), mens fortrolighed og tilgængelighed ikke direkte trues. Det faktum, at exploit-koden er offentligt tilgængelig, hæver den reelle risiko i praksis.
Hvad gør jeg nu?
Følg disse trin for at beskytte din organisation:
- Undersøg om I bruger systemet: Tjek om din organisation anvender SourceCodester CET Automated Grading System version 1.0.
- Begræns adgangen: Hvis muligt, begræns adgangen til systemet til kun kendte og betroede netværk eller brugere, indtil en opdatering foreligger.
- Advær dine brugere: Informér medarbejdere og brugere om ikke at klikke på uventede links, der fører til systemets loginside.
- Følg med i opdateringer: Hold øje med SourceCodesters officielle kanaler for sikkerhedsopdateringer og installér dem straks, når de udgives.
- Overvej alternativ software: Hvis leverandøren ikke udsender en patch hurtigt, bør du overveje at skifte til et aktivt vedligeholdt system.
- Kontakt en sikkerhedskonsulent: Er du usikker på din eksponering, så få en fagperson til at gennemgå din opsætning.
Handl inden for 1-2 uger
Da exploit-koden allerede er offentligt tilgængelig, er risikoen for faktiske angreb reel — selv mod mindre organisationer. Vi anbefaler, at du straks begrænser adgangen til systemet og informerer dine brugere om ikke at klikke på mistænkelige links. Følg løbende op på, om SourceCodester udgiver en sikkerhedsopdatering, og installér den hurtigst muligt. Har du brug for hjælp til at vurdere din eksponering, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Phishing via manipuleret link
En angriber konstruerer et særligt udformet link til systemets /index.php-side med ondsindet JavaScript indlejret i action-parameteren. Linket sendes til en lærer eller administrator via e-mail. Når modtageren klikker på linket, udføres koden i vedkommendes browser og sender login-cookien til angriberen, som derefter kan overtage kontoen uden at kende adgangskoden.
Manipulation af karakterdata
En elev eller ekstern aktør udnytter XSS-fejlen til at indlejre et script, der viser forfalsket karakterdata til andre brugere, der besøger siden. Dette kan bruges til at skabe forvirring, mistillid til systemet eller i yderste konsekvens til at snytte med karakterresultater. Kombineret med kodefejlen (CWE-94) kan der potentielt ændres data direkte på serveren.
Omdirigering til falsk loginside
Angriberen injicerer JavaScript-kode, der automatisk omdirigerer brugeren til en forfalsket loginside, der ligner det rigtige system. Brugeren indtaster sit brugernavn og kodeord, som opsamles af angriberen. Med disse oplysninger kan angriberen logge ind på det rigtige system og tilgå eller manipulere studiedata.
Ofte stillede spørgsmål
Hvad er cross-site scripting (XSS)?
XSS er en type angreb, hvor en angriber indlejrer ondsindet kode — typisk JavaScript — i en webside. Når en bruger besøger siden, udføres koden i brugerens browser uden dennes vidende. Det kan bruges til at stjæle loginoplysninger, overtage sessioner eller vise falsk indhold.
Skal vi stoppe med at bruge systemet med det samme?
Ikke nødvendigvis, men du bør tage forholdsregler. Begræns adgangen til systemet, informér dine brugere og hold øje med opdateringer. Hvis systemet ikke er forretningskritisk, kan det være en god idé at sætte det på pause, indtil en patch er tilgængelig.
Kan angriberen få adgang til vores data uden at vi opdager det?
Ja, det er muligt. Et XSS-angreb kan udføres uden synlige spor for den almindelige bruger. En angriber kan stjæle en sessions-cookie og bruge den til at logge ind som brugeren — alt sammen i baggrunden. Derfor er det vigtigt at handle proaktivt fremfor at vente på tegn på angreb.
Er det kun store organisationer, der er i risiko?
Nej. Angribere skelner sjældent mellem store og små organisationer, især når exploit-koden er offentligt tilgængelig og let at anvende. Skoler, kursusudbydere og SMV’er, der bruger dette system, er alle potentielle mål.
Hvornår kommer der en opdatering fra leverandøren?
Der er pr. CVE-offentliggørelsesdatoen den 14. juni 2026 ikke bekræftet nogen officiel patch fra SourceCodester. Hold øje med leverandørens hjemmeside og officielle kanaler for meddelelser om sikkerhedsopdateringer.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
A vulnerability has been found in SourceCodester CET Automated Grading System with AI Predictive Analytics 1.0. The impacted element is an unknown function of the file /index.php. The manipulation of the argument action leads to cross site scripting. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
