Vulnerabilities ›

CVE-2026-48217

Medium

CWE-79 — Weakness Type

                    Published: May 21, 2026                      ·  Modified: May 24, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in delete_module.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the multiple POST parameters (module_choice, flag, confirmation) directly into rendered HTML content and form action attributes. Attackers can craft a malicious request containing a JavaScript payload that executes in the victim's browser when the response is rendered.

🤖 AI Executive Summary

Open ISES Tickets before version 3.44.2 contains a reflected XSS vulnerability in delete_module.php allowing authenticated attackers to inject arbitrary JavaScript through unsanitized POST parameters. The vulnerability affects module_choice, flag, and confirmation parameters that are directly rendered into HTML content and form attributes.

📄 Description (Arabic)

ثغرة XSS انعكاسية في نظام إدارة تذاكر Open ISES تسمح للمستخدمين المصرحين بحقن كود JavaScript ضار عبر معاملات POST غير المعالجة في ملف delete_module.php. يمكن للمهاجم إنشاء طلب خبيث يحتوي على حمولة JavaScript تُنفذ في متصفح الضحية عند عرض الاستجابة.

🤖 ملخص تنفيذي (AI)

نظام Open ISES Tickets قبل الإصدار 3.44.2 يحتوي على ثغرة XSS انعكاسية في ملف delete_module.php تسمح للمهاجمين المصرحين بحقن JavaScript عشوائي عبر معاملات POST غير المعالجة. تؤثر الثغرة على معاملات module_choice و flag و confirmation التي يتم عرضها مباشرة في محتوى HTML وسمات النماذج.

🤖 AI Intelligence Analysis Analyzed: May 28, 2026 03:02

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom banking

🎯 MITRE ATT&CK Techniques

T1190 T1598

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and output encoding for all POST parameters (module_choice, flag, confirmation) in delete_module.php. Apply Content Security Policy (CSP) headers to prevent inline script execution. Conduct security code review of all form handling functions and implement parameterized output encoding.

🔧 خطوات المعالجة (العربية)

قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث فوراً. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع معاملات POST في delete_module.php. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. أجرِ مراجعة أمان الكود لجميع وظائف معالجة النماذج وطبق ترميز المخرجات المعاملي.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

AC-3 SI-10

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 3

🔗

https://github.com/openises/tickets/commit/ecfeb406a016766cae81c749e14b5145a9f2dbff

disclosure@vulncheck.com

🔗

https://github.com/openises/tickets/releases/tag/v3.44.2

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/open-ises-tickets-reflected-xss-via-delete-module-...

disclosure@vulncheck.com

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-79

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-21

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-48217

💬 Comments

Introduce Yourself

Sign In Required