Plattform
php
Komponente
vulnerability-practice
Behoben in
1.0.1
CVE-2026-4876 is a vulnerability affecting PocketMine-MP servers related to the handling of JSON payloads within ModalFormResponsePacket. An attacker can exploit this by sending excessively large JSON responses, leading to denial-of-service conditions due to excessive memory and CPU usage. This vulnerability impacts PocketMine-MP versions 5.9.0 and earlier, requiring the player to be actively connected to the server. A patch addressing this issue has been released in version 5.39.2.
Eine SQL-Injection-Schwachstelle wurde im Free Hotel Reservation System Version 1.0 identifiziert. Dieser Fehler, katalogisiert als CVE-2026-4876, betrifft eine unbekannte Funktion innerhalb der Datei /admin/mod_amenities/index.php?view=editpic. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er das Argument 'ID' manipuliert, was potenziell unautorisierten Zugriff auf die Datenbank, die Änderung oder Löschung sensibler Daten und sogar die Ausführung von bösartigem Code auf dem Server ermöglicht. Die öffentliche Verfügbarkeit eines Exploits verschärft das Risiko, da sie seine Verwendung durch böswillige Akteure erleichtert. Die Schwere der Schwachstelle wird gemäß CVSS mit 6.3 bewertet, was ein moderates bis hohes Risiko anzeigt.
Die Schwachstelle wird durch die Manipulation des Parameters 'ID' in der URL /admin/mod_amenities/index.php?view=editpic ausgenutzt. Ein Angreifer kann bösartigen SQL-Code in diesen Parameter injizieren, der dann auf der Datenbank des Systems ausgeführt wird. Die Remote-Natur der Ausnutzung bedeutet, dass ein Angreifer keinen physischen Zugriff auf den Server benötigt, um das System zu kompromittieren. Die öffentliche Verfügbarkeit des Exploits erleichtert die Identifizierung und Nutzung der Schwachstelle durch Angreifer mit unterschiedlichem technischem Können. Das Fehlen eines offiziellen Fixes erhöht das Zeitfenster, in dem Angreifer das System ausnutzen können.
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Derzeit wurde von den Entwicklern des Free Hotel Reservation Systems kein offizielles Fix bereitgestellt. Die effektivste unmittelbare Abschwächung besteht darin, die betroffene Funktionalität (/admin/mod_amenities/index.php?view=editpic) vorübergehend zu deaktivieren oder den Zugriff auf diese Seite nur auf autorisierte und vertrauenswürdige Benutzer zu beschränken. Es wird dringend empfohlen, die Website des Entwicklers auf Sicherheitsupdates zu überwachen und den Fix anzuwenden, sobald er verfügbar ist. Darüber hinaus kann die Implementierung robuster Sicherheitsmaßnahmen, wie z. B. die Validierung und Bereinigung aller Benutzereingaben, dazu beitragen, zukünftige SQL-Injection-Schwachstellen zu verhindern. Erwägen Sie ein Upgrade auf eine sicherere Version des Systems, falls verfügbar, als Vorsichtsmaßnahme.
Actualizar a una versión parcheada del sistema de reservas de hotel. Si no hay una versión parcheada disponible, se recomienda deshabilitar o eliminar el sistema de reservas de hotel hasta que se pueda aplicar una solución. Alternativamente, se puede implementar una validación de entrada robusta en el parámetro ID en el archivo /admin/mod_amenities/index.php?view=editpic para prevenir la inyección SQL.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SQL-Injection ist eine Angriffstechnik, die es Angreifern ermöglicht, bösartigen SQL-Code in eine Anwendung einzuschleusen, um auf die Datenbank zuzugreifen oder diese zu manipulieren.
Das Deaktivieren der anfälligen Funktionalität, das Beschränken des Zugriffs, die Validierung von Benutzereingaben und die Überwachung auf Sicherheitsupdates sind wichtige Maßnahmen.
Derzeit wurde von dem Entwickler kein offizieller Fix bereitgestellt.
CVSS 6.3 weist auf ein moderates bis hohes Risikoniveau hin, was bedeutet, dass die Schwachstelle relativ einfach ausgenutzt werden kann und erhebliche Auswirkungen haben könnte.
Überprüfen Sie die Website des Entwicklers des Free Hotel Reservation Systems und Vulnerability-Datenbanken wie die National Vulnerability Database (NVD).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.