Plattform
php
Komponente
car-rental-project
Behoben in
1.0.1
CVE-2026-5634 represents a SQL Injection vulnerability discovered within the Car Rental Project, specifically impacting versions 1.0.0 through 1.0. This flaw resides in the parameter handling functionality of the /book_car.php file, allowing attackers to inject malicious SQL code through the 'fname' argument. Successful exploitation could lead to unauthorized data access or modification, and the exploit is publicly available, increasing the risk of widespread attacks. No official patch is currently available.
Eine SQL-Injection-Schwachstelle wurde im Car Rental Project 1.0 identifiziert, insbesondere in der Datei /book_car.php. Diese Schwachstelle betrifft die Komponente Parameter Handler und ermöglicht es einem Angreifer, das Argument 'fname' zu manipulieren, um bösartigen SQL-Code auszuführen. Das Risiko ist erheblich, mit einem CVSS-Wert von 7,3, was eine Schwachstelle mit hoher Schweregrad bedeutet. Die Ausnutzung erfolgt remote, d. h. der Angreifer benötigt keinen physischen Zugriff auf das System. Die öffentliche Verfügbarkeit eines Exploits verschärft die Situation und erhöht das Risiko von Angriffen. SQL-Injection kann es einem Angreifer ermöglichen, sensible Datenbankdaten zu lesen, zu ändern oder zu löschen, wodurch die Integrität und Vertraulichkeit von Kundendaten und Unternehmensinformationen gefährdet werden.
Die Schwachstelle befindet sich in der Datei /book_car.php innerhalb der Komponente Parameter Handler. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine bösartige Anfrage sendet, die das Argument 'fname' mit injiziertem SQL-Code manipuliert. Die Remote-Natur der Schwachstelle bedeutet, dass ein Angreifer den Angriff von jedem Ort aus starten kann, der Netzwerkzugriff auf den Ort hat, an dem die Anwendung ausgeführt wird. Die öffentliche Verfügbarkeit des Exploits erleichtert die Ausnutzung durch Angreifer mit unterschiedlichem technischen Können. Der potenzielle Schaden ist die Offenlegung sensibler Daten, die Änderung der Datenbank und die potenzielle Übernahme des Systems.
Car rental businesses and organizations utilizing the Car Rental Project software, particularly those hosting their applications on shared hosting environments or without robust input validation measures, are at significant risk. Legacy configurations and deployments that haven't been regularly updated are also vulnerable.
• php / web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; DROP TABLE users;--" | grep "error"• generic web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; SELECT version();--" | grep "MySQL"disclosure
poc
Exploit-Status
EPSS
0.04% (11% Perzentil)
CISA SSVC
CVSS-Vektor
Derzeit wurde kein offizielles Fix für diese Schwachstelle bereitgestellt. Sofortige Abmilderung erfordert die Implementierung zusätzlicher Sicherheitsmaßnahmen zum Schutz der Anwendung. Es wird dringend empfohlen, alle Benutzereingaben, insbesondere das Argument 'fname', zu validieren und zu bereinigen, bevor sie in SQL-Abfragen verwendet werden. Die Verwendung von Prepared Statements oder gespeicherten Prozeduren ist eine sichere Praxis, um SQL-Injection zu verhindern. Darüber hinaus sollte der Datenbankzugriff auf die erforderlichen Benutzer und Anwendungen beschränkt werden, und die Datenbankaktivität sollte auf verdächtige Muster überwacht werden. Es wird empfohlen, den Projektentwickler zu kontaktieren, um eine Aktualisierung anzufordern und alle Sicherheitsankündigungen genau zu verfolgen.
Actualice el proyecto Car Rental Project a una versión corregida. Verifique las fuentes oficiales del proyecto para obtener instrucciones específicas de actualización y parches de seguridad. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de entradas, para mitigar el riesgo de futuras inyecciones SQL.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SQL-Injection ist eine Angriffstechnik, die es einem Angreifer ermöglicht, bösartigen SQL-Code in eine Datenbankabfrage einzufügen, was die Sicherheit der Anwendung gefährden kann.
CVSS 7.3 ist ein Schweregradwert, der anzeigt, dass die Schwachstelle einen hohen Schweregrad hat und ein erhebliches Sicherheitsrisiko darstellt.
Validieren und bereinigen Sie alle Benutzereingaben, verwenden Sie Prepared Statements, beschränken Sie den Datenbankzugriff und überwachen Sie die Datenbankaktivität.
Derzeit gibt es keinen offiziellen Fix. Implementieren Sie die empfohlenen Abmilderungsmaßnahmen, bis ein Update veröffentlicht wird.
Wenden Sie sich an den Entwickler des Car Rental Projects für weitere Informationen und Sicherheitsupdates.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.