Vulnerabilities ›

CVE-2026-10255

Medium

CWE-266 — Weakness Type

                    Published: Jun 1, 2026                      ·  Modified: Jun 4, 2026                      ·  Source: NVD                

CVSS v3

5.3

🔗 NVD Official

📄 Description (English)

A vulnerability has been found in SourceCodester Pharmacy Sales and Inventory System 1.0. Affected by this vulnerability is the function sell_statement of the file application/controllers/ShowForm.php. Such manipulation leads to improper access controls. The attack can be launched remotely. The exploit has been disclosed to the public and may be used.

🤖 AI Executive Summary

CVE-2026-10255 is a medium-severity improper access control vulnerability in SourceCodester Pharmacy Sales and Inventory System 1.0 affecting the sell_statement function. The vulnerability allows remote attackers to bypass access controls, potentially exposing sensitive pharmacy and patient data. While no patch is currently available and exploit code has been publicly disclosed, the CVSS score of 5.3 indicates moderate risk requiring prompt mitigation.

📄 Description (Arabic)

تم اكتشاف ثغرة في التحكم بالوصول غير الصحيح في نظام مبيعات وإدارة المخزون الصيدلاني من SourceCodester الإصدار 1.0. تؤثر الثغرة على وظيفة sell_statement في ملف application/controllers/ShowForm.php وتسمح بالوصول غير المصرح به إلى بيانات المبيعات والمخزون. يمكن استغلال هذه الثغرة عن بعد وقد تم الكشف عن تفاصيلها للجمهور.

🤖 ملخص تنفيذي (AI)

CVE-2026-10255 هي ثغرة متوسطة الخطورة في التحكم بالوصول غير الصحيح في نظام SourceCodester لمبيعات الصيدليات والمخزون الإصدار 1.0 تؤثر على وظيفة sell_statement. تسمح الثغرة للمهاجمين البعيدين بتجاوز عناصر التحكم بالوصول، مما قد يعرض بيانات الصيدلية والمرضى الحساسة للخطر. على الرغم من عدم توفر تصحيح حالياً وتم الكشف عن رمز الاستغلال علناً، فإن درجة CVSS البالغة 5.3 تشير إلى مخاطر معتدلة تتطلب تخفيفاً سريعاً.

🤖 AI Intelligence Analysis Analyzed: Jun 1, 2026 16:50

🇸🇦 Saudi Arabia Impact Assessment

This vulnerability poses significant risk to Saudi healthcare organizations and private pharmacies utilizing this system. Primary impact sectors include: (1) Healthcare/Pharmacy sector - unauthorized access to prescription records, patient medication history, and sales data; (2) Government health facilities under MOH - potential exposure of patient PII and treatment records; (3) Private pharmacy chains - inventory manipulation and financial fraud risks. The improper access control could enable unauthorized viewing of sensitive pharmaceutical sales records, patient information, and financial transactions, violating GDPR-equivalent healthcare privacy requirements under Saudi regulations.

🏢 Affected Saudi Sectors

Healthcare/Pharmacy Government Health Facilities Private Pharmacy Chains Pharmaceutical Distribution Clinic Management

🎯 MITRE ATT&CK Techniques

T1548 - Abuse Elevation Control Mechanism T1078 - Valid Accounts T1087 - Account Discovery T1526 - Exposure of Sensitive Information T1190 - Exploit Public-Facing Application

⚖️ Saudi Risk Score (AI)

6.8

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Audit all instances of SourceCodester Pharmacy Sales and Inventory System 1.0 in your organization and document deployment locations

2. Implement network-level access controls restricting access to the sell_statement function to authorized personnel only

3. Enable comprehensive logging and monitoring of all access attempts to the ShowForm.php controller

4. Review access logs for the past 90 days to identify unauthorized access attempts



Compensating Controls (until patch available):

5. Deploy a Web Application Firewall (WAF) with rules to restrict direct access to application/controllers/ShowForm.php

6. Implement role-based access control (RBAC) at the application level to enforce proper authorization checks

7. Disable remote access to the affected function if not operationally required

8. Segment pharmacy systems from general network access using VLANs or network isolation



Patching & Upgrade:

9. Contact SourceCodester for patch availability timeline

10. Plan immediate upgrade to a patched version once available

11. If upgrade not feasible, consider replacing with alternative pharmacy management systems with proper access controls



Detection Rules:

12. Monitor for HTTP requests to /application/controllers/ShowForm.php with sell_statement parameters

13. Alert on access attempts from non-whitelisted IP addresses

14. Track failed authentication attempts followed by successful access to sensitive functions

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تدقيق جميع حالات نظام SourceCodester لمبيعات الصيدليات والمخزون الإصدار 1.0 في مؤسستك وتوثيق مواقع النشر

2. تنفيذ عناصر التحكم بالوصول على مستوى الشبكة لتقييد الوصول إلى وظيفة sell_statement للموظفين المصرح لهم فقط

3. تفعيل السجلات الشاملة والمراقبة لجميع محاولات الوصول إلى وحدة التحكم ShowForm.php

4. مراجعة سجلات الوصول لآخر 90 يوماً لتحديد محاولات الوصول غير المصرح بها

عناصر التحكم البديلة (حتى توفر التصحيح):

5. نشر جدار حماية تطبيقات الويب (WAF) مع قواعد لتقييد الوصول المباشر إلى application/controllers/ShowForm.php

6. تنفيذ التحكم بالوصول القائم على الأدوار (RBAC) على مستوى التطبيق لفرض فحوصات التفويض الصحيحة

7. تعطيل الوصول البعيد إلى الوظيفة المتأثرة إذا لم يكن مطلوباً تشغيلياً

8. عزل أنظمة الصيدليات عن الوصول إلى الشبكة العامة باستخدام VLANs أو عزل الشبكة

التصحيح والترقية:

9. اتصل بـ SourceCodester للحصول على الجدول الزمني لتوفر التصحيح

10. خطط للترقية الفورية إلى نسخة مصححة بمجرد توفرها

11. إذا لم تكن الترقية ممكنة، فكر في استبدالها بأنظمة إدارة صيدليات بديلة مع عناصر تحكم وصول مناسبة

قواعد الكشف:

12. مراقبة طلبات HTTP إلى /application/controllers/ShowForm.php مع معاملات sell_statement

13. تنبيه محاولات الوصول من عناوين IP غير المدرجة في القائمة البيضاء

14. تتبع محاولات المصادقة الفاشلة متبوعة بالوصول الناجح إلى الوظائف الحساسة

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.9.1.1 - Access control policy A.9.2.1 - User registration and access rights management A.9.2.5 - Access rights review A.9.4.3 - Password management A.14.2.1 - Secure development policy

🔵 SAMA CSF

ID.AM-1 - Asset Management PR.AC-1 - Access Control Policy PR.AC-3 - Access Enforcement PR.AC-4 - Access Rights Management DE.CM-1 - Monitoring and Detection

🟡 ISO 27001:2022

A.5.15 - Access Control A.8.1 - User endpoint devices A.8.2 - Privileged access rights A.8.3 - Information access restriction A.14.2 - Secure development

🟣 PCI DSS v4.0.1

Requirement 7 - Restrict access to data by business need to know Requirement 8 - Identify and authenticate access to system components

🔗 References & Sources 6

🔗

https://github.com/timeflies123/cve/issues/7

cna@vuldb.com

🔗

https://vuldb.com/cve/CVE-2026-10255

cna@vuldb.com

🔗

https://vuldb.com/submit/824148

cna@vuldb.com

🔗

https://vuldb.com/vuln/367533

cna@vuldb.com

🔗

https://vuldb.com/vuln/367533/cti

cna@vuldb.com

🔗

https://www.sourcecodester.com/

cna@vuldb.com

📊 CVSS Score

5.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.3

CWECWE-266

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-06-01

Source Feed nvd

🇸🇦 Saudi Risk Score

6.8

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-266

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-10255

Introduce Yourself

Sign In Required