Plattform
php
Komponente
phpgurukul-online-shopping-portal-project
Behoben in
2.1.1
CVE-2026-5639 represents a SQL Injection vulnerability discovered within the PHPGurukul Online Shopping Portal Project. This flaw allows an attacker to inject malicious SQL code through the filename parameter in the /admin/update-image3.php file, potentially leading to unauthorized data access or modification. The vulnerability affects version 2.1 of the project and has been publicly disclosed, increasing the risk of exploitation. No patch is currently available.
Eine SQL-Injection-Schwachstelle wurde in PHPGurukul Online Shopping Portal Project Version 2.1 (CVE-2026-5639) entdeckt. Diese Schwachstelle betrifft eine unbekannte Funktion innerhalb der Datei /admin/update-image3.php, insbesondere im Parameter Handler-Komponenten. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er das Argument 'filename' manipuliert, was potenziell die Ausführung von bösartigem SQL-Code in der Datenbank des Portals ermöglicht. Die Schwere der Schwachstelle wird mit 6.3 auf der CVSS-Skala bewertet, was ein moderates Risiko anzeigt. Die Ausnutzung erfolgt remote, was bedeutet, dass ein Angreifer die Schwachstelle von überall mit Netzwerkzugriff ausnutzen kann. Die Veröffentlichung eines funktionierenden Exploits erhöht das Risiko von Angriffen erheblich.
Die Schwachstelle liegt in der Art und Weise, wie die Parameter Handler-Komponente das Argument 'filename' innerhalb der Datei /admin/update-image3.php verarbeitet. Ein Angreifer kann bösartigen SQL-Code in dieses Argument injizieren, der dann gegen die Datenbank ausgeführt wird. Die Veröffentlichung eines funktionierenden Exploits bedeutet, dass Angreifer nun ein erprobtes Werkzeug haben, um diese Schwachstelle auszunutzen. Dies erhöht die Wahrscheinlichkeit, dass anfällige Systeme ins Visier genommen werden, insbesondere wenn keine Abschwächungsschritte unternommen werden. Die Remote-Natur der Schwachstelle macht sie besonders gefährlich, da Angreifer keinen physischen Zugriff auf den Server benötigen, um sie auszunutzen.
Organizations and individuals using the PHPGurukul Online Shopping Portal Project version 2.1, particularly those hosting their own instances or using shared hosting environments, are at risk. Websites relying on this project for e-commerce functionality are especially vulnerable to data breaches and service disruption.
• php / server:
grep -r 'filename = $_POST['filename']' /var/www/html/admin/update-image3.php• php / server:
journalctl -u php-fpm | grep 'SQL injection attempt'• generic web:
curl -I <affected_url>/admin/update-image3.php?filename='; DROP TABLE users;--disclosure
Exploit-Status
EPSS
0.01% (1% Perzentil)
CISA SSVC
CVSS-Vektor
Derzeit wurde von PHPGurukul kein offizielles Fix für diese Schwachstelle bereitgestellt. Die effektivste unmittelbare Abschwächung ist das Upgrade auf eine neuere Version des Online Shopping Portal Projects, sobald diese verfügbar ist. In der Zwischenzeit wird empfohlen, strenge Eingabevalidierung und -bereinigung für alle Benutzereingaben, insbesondere solche, die sich auf Dateinamen beziehen, zu implementieren. Darüber hinaus kann die Beschränkung des Zugriffs auf das Admin-Panel /admin/update-image3.php auf autorisierte Benutzer und die Überwachung der Systemaktivität auf verdächtige Muster dazu beitragen, das Risiko zu verringern. Erwägen Sie auch die Verwendung einer Web Application Firewall (WAF), um bösartigen Datenverkehr zu filtern.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee las entradas del usuario, especialmente el parámetro 'filename', para prevenir la inyección SQL. Implemente validación y escape adecuados de los datos antes de utilizarlos en consultas SQL.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine eindeutige Kennung für diese Schwachstelle, die verwendet wird, um sie in verschiedenen Sicherheitskontexten zu verfolgen und zu referenzieren.
Es ist ein Open-Source-Projekt zum Erstellen eines Online-Shopping-Portals mit PHP.
Wenn Sie Version 2.1 des Online Shopping Portal Projects verwenden, sind Sie wahrscheinlich anfällig. Führen Sie eine Sicherheitsprüfung durch, um dies zu bestätigen.
Obwohl es keine spezifischen Tools gibt, können Web-Vulnerability-Scanner im Allgemeinen SQL-Injections erkennen. Überprüfen Sie den Quellcode auf die Schwachstelle.
Isolieren Sie das betroffene System, ändern Sie alle Benutzerpasswörter, führen Sie eine forensische Prüfung durch und stellen Sie von einer sauberen Sicherung wieder her.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.