Vulnerabilities ›

CVE-2026-48229

Medium

CWE-79 — Weakness Type

                    Published: May 21, 2026                      ·  Modified: May 24, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

Open ISES Tickets before 3.44.2 contains a reflected cross-site scripting vulnerability in routes_i.php that allows authenticated attackers to inject arbitrary JavaScript by passing an unsanitized value through the ticket_id GET parameter directly into HTML form hidden input value attributes. Attackers can craft a malicious request containing a JavaScript payload that executes in the victim's browser when the response is rendered.

🤖 AI Executive Summary

Open ISES Tickets before version 3.44.2 contains a reflected XSS vulnerability in routes_i.php where the ticket_id GET parameter is not properly sanitized before being inserted into HTML form hidden input attributes. Authenticated attackers can inject malicious JavaScript that executes in victims' browsers when the crafted request response is rendered.

📄 Description (Arabic)

ثغرة XSS منعكسة في تطبيق إدارة التذاكر Open ISES تسمح للمهاجمين المصرح لهم بحقن كود JavaScript عبر معامل ticket_id غير المنظف. يتم تنفيذ الكود الضار في متصفح الضحية عند عرض الاستجابة المحتوية على الحمولة الخبيثة. تؤثر الثغرة على الإصدارات السابقة للإصدار 3.44.2.

🤖 ملخص تنفيذي (AI)

تطبيق Open ISES Tickets الإصدارات السابقة للإصدار 3.44.2 يحتوي على ثغرة XSS منعكسة في ملف routes_i.php حيث لا يتم تنظيف معامل ticket_id بشكل صحيح قبل إدراجه في سمات HTML. يمكن للمهاجمين المصرح لهم بحقن كود JavaScript ضار يتم تنفيذه في متصفحات الضحايا.

🤖 AI Intelligence Analysis Analyzed: May 28, 2026 13:20

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom banking

🎯 MITRE ATT&CK Techniques

T1190 T1598

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Open ISES Tickets to version 3.44.2 or later immediately. Implement input validation and output encoding for all user-supplied parameters, particularly the ticket_id GET parameter. Apply context-appropriate HTML entity encoding before inserting values into HTML attributes. Deploy Web Application Firewall (WAF) rules to detect and block XSS payloads. Conduct security code review of routes_i.php and similar components.

🔧 خطوات المعالجة (العربية)

قم بترقية Open ISES Tickets إلى الإصدار 3.44.2 أو أحدث فوراً. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع المعاملات المزودة من قبل المستخدم. طبق ترميز كيانات HTML قبل إدراج القيم في سمات HTML. نشر قواعد جدار حماية تطبيقات الويب لكشف وحجب حمولات XSS. أجرِ مراجعة أمان الكود للملف routes_i.php والمكونات المشابهة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

CC6.1 CC6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 3

🔗

https://github.com/openises/tickets/commit/ecfeb406a016766cae81c749e14b5145a9f2dbff

disclosure@vulncheck.com

🔗

https://github.com/openises/tickets/releases/tag/v3.44.2

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/open-ises-tickets-reflected-xss-via-routes-i-php-t...

disclosure@vulncheck.com

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-79

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-21

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-48229

Introduce Yourself

Sign In Required