Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-39358: SQL Injection in CubeCart Ecommerce
Plattform
php
Komponente
cubecart
Behoben in
6.6.0
CVE-2026-39358 describes an authenticated Time-Based Blind SQL Injection vulnerability discovered in CubeCart, an ecommerce software solution. This flaw allows attackers to inject malicious SQL commands through sorting parameters, potentially leading to data breaches and system compromise. The vulnerability impacts CubeCart versions 6.0.0 up to, but not including, version 6.6.0. A patch is available in version 6.6.0.
Auswirkungen und Angriffsszenarienwird übersetzt…
Successful exploitation of CVE-2026-39358 allows an attacker to bypass authentication and execute arbitrary SQL queries against the CubeCart database. This could result in the theft of sensitive customer data, including usernames, passwords, addresses, and payment information. Attackers could also modify product data, pricing, or inventory levels, disrupting business operations. The blind nature of the injection means that data extraction is slower, but the potential impact remains significant. A compromised CubeCart instance could also be leveraged for lateral movement within the network if the database user has excessive privileges.
Ausnutzungskontextwird übersetzt…
CVE-2026-39358 was published on May 13, 2026. Its severity is rated HIGH with a CVSS score of 7.2. No public exploits or active campaigns targeting this vulnerability have been observed as of the publication date. The vulnerability is not currently listed on CISA Known Exploited Vulnerabilities (KEV) catalog. The EPSS score is pending evaluation.
Bedrohungsanalyse
Exploit-Status
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Hoch — Administrator- oder Privilegienkonto erforderlich.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
- Confidentiality
- Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
- Integrity
- Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
- Availability
- Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
Mitigation und Workaroundswird übersetzt…
The primary mitigation for CVE-2026-39358 is to immediately upgrade CubeCart to version 6.6.0 or later. If upgrading is not immediately feasible, consider implementing a Web Application Firewall (WAF) with rules to filter out malicious SQL injection attempts targeting the sorting parameters (sort[price], sortactivity, sortadmin, and sort_customer) of the Products and Logs endpoints. Input validation and sanitization on the server-side are also crucial. Review database user permissions to ensure they adhere to the principle of least privilege; limit the database user's access to only the necessary tables and operations. After upgrading, confirm the vulnerability is resolved by attempting a SQL injection attack on the affected endpoints and verifying that the input is properly sanitized.
So behebenwird übersetzt…
Actualice CubeCart a la versión 6.6.0 o posterior para mitigar la vulnerabilidad de inyección SQL ciega basada en tiempo. Asegúrese de realizar una copia de seguridad de su base de datos antes de actualizar. Verifique la documentación oficial de CubeCart para obtener instrucciones detalladas de actualización.
Häufig gestellte Fragenwird übersetzt…
What is CVE-2026-39358 — SQL Injection in CubeCart?
CVE-2026-39358 is a SQL Injection vulnerability affecting CubeCart versions 6.0.0 through 6.5.9. Attackers can exploit sorting parameters to execute arbitrary SQL commands, potentially compromising the database.
Am I affected by CVE-2026-39358 in CubeCart?
If you are running CubeCart version 6.0.0 through 6.5.9, you are potentially affected by this vulnerability. Upgrade to version 6.6.0 to mitigate the risk.
How do I fix CVE-2026-39358 in CubeCart?
The recommended fix is to upgrade CubeCart to version 6.6.0 or later. As a temporary workaround, implement a WAF to filter malicious SQL injection attempts.
Is CVE-2026-39358 being actively exploited?
As of the publication date, there are no reports of active exploitation campaigns targeting CVE-2026-39358.
Where can I find the official CubeCart advisory for CVE-2026-39358?
Refer to the official CubeCart security advisory for detailed information and updates regarding CVE-2026-39358: [https://www.cubecart.com/security/advisories/](https://www.cubecart.com/security/advisories/)
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Jetzt testen — kein Konto
Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...