Plattform
php
Komponente
code-projects-online-application-system-for-admission
Behoben in
1.0.1
CVE-2026-5649 represents a SQL Injection vulnerability discovered in the Online Application System for Admission. This flaw allows attackers to inject malicious SQL code, potentially compromising the application's database and sensitive data. The vulnerability specifically impacts versions 1.0.0 through 1.0 of the system, targeting the /enrollment/admsnform.php endpoint. As of the publication date, no official patch has been released to address this issue.
Eine SQL-Injection-Schwachstelle wurde im Online-Bewerbungssystem für die Zulassung von code-projects Version 1.0 identifiziert, die als CVE-2026-5649 gekennzeichnet ist. Dieser Fehler betrifft die Verarbeitung von Dateien innerhalb von /enrollment/admsnform.php der Endpoint-Komponente. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er Eingaben manipuliert, was potenziell zu unbefugtem Zugriff auf die Datenbank, Datenänderungen oder sogar zur Ausführung von Befehlen auf dem Server führen kann. Die Schwere der Schwachstelle wird gemäß CVSS mit 6,3 bewertet. Die öffentliche Offenlegung des Exploits deutet auf eine hohe Wahrscheinlichkeit der Ausnutzung hin und stellt ein erhebliches Risiko für Organisationen dar, die dieses System verwenden. Das Fehlen eines Fixes verschärft die Situation weiter und erfordert sofortige Abhilfemaßnahmen.
Die Schwachstelle CVE-2026-5649 befindet sich in der Datei /enrollment/admsnform.php der Endpoint-Komponente im Online-Bewerbungssystem für die Zulassung von code-projects Version 1.0. Sie stellt eine SQL-Injection-Schwachstelle dar, die remote ausgenutzt werden kann. Ein Angreifer kann bösartigen SQL-Code über die Benutzereingabe injizieren, was unbefugten Zugriff auf die Datenbank ermöglicht. Die öffentliche Offenlegung des Exploits deutet darauf hin, dass Angreifer bereits die Fähigkeit besitzen, diese Schwachstelle auszunutzen. Das Fehlen eines Patches erhöht das Risiko der Ausnutzung. Das System ist anfällig für Angriffe, die darauf abzielen, vertrauliche Informationen zu erhalten, Daten zu ändern oder sogar die Kontrolle über den Server zu übernehmen.
Educational institutions and organizations utilizing the Online Application System for Admission for student enrollment are at risk. Specifically, deployments with weak database security configurations or those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple applications share the same database are also at increased risk.
• php / web:
curl -s -X POST -d "admsnform.php?param='; DROP TABLE users;--" http://your-target-host/enrollment/ | grep -i "error"• generic web:
curl -I http://your-target-host/enrollment/admsnform.php?param='; SELECT version(); --disclosure
Exploit-Status
EPSS
0.01% (1% Perzentil)
CISA SSVC
CVSS-Vektor
Angesichts des Fehlens eines offiziellen Fixes für CVE-2026-5649 sollten Organisationen, die das Online-Bewerbungssystem für die Zulassung von code-projects Version 1.0 verwenden, sofortige Abhilfemaßnahmen ergreifen. Diese umfassen, aber sind nicht beschränkt auf, die vorübergehende Deaktivierung des Systems, die Bereitstellung einer Web Application Firewall (WAF) zum Filtern bösartiger Anfragen und die sorgfältige Überprüfung des Quellcodes zur Identifizierung und Behebung der SQL-Injection-Schwachstelle. Es wird dringend empfohlen, den Softwareanbieter um ein Sicherheitsupdate zu bitten. Darüber hinaus sind eine kontinuierliche Systemüberwachung auf verdächtige Aktivitäten und die Stärkung bestehender Sicherheitsmaßnahmen, wie z. B. Passwortrichtlinien und Multi-Faktor-Authentifizierung, unerlässlich.
Actualice el módulo a la última versión disponible o aplique parches de seguridad para mitigar la vulnerabilidad de inyección SQL. Revise y sanee las entradas del usuario en el archivo /enrollment/admsnform.php para prevenir la ejecución de consultas SQL maliciosas. Implemente validación y escape de datos para proteger contra futuras inyecciones SQL.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
SQL-Injection ist eine Angriffstechnik, die es Angreifern ermöglicht, bösartigen SQL-Code in eine Anwendung einzuschleusen, um auf die Datenbank zuzugreifen oder diese zu manipulieren.
Ein Angreifer könnte potenziell sensible Daten, die in der Datenbank des Systems gespeichert sind, abrufen, ändern oder löschen.
Deaktivieren Sie das System vorübergehend, stellen Sie eine WAF bereit, überprüfen Sie den Code und kontaktieren Sie den Anbieter, um eine Korrektur zu erhalten.
Derzeit gibt es keinen offiziellen Fix für diese Schwachstelle.
Implementieren Sie sichere Codierungspraktiken, verwenden Sie die Eingabevalidierung und halten Sie Ihre Software auf dem neuesten Stand.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.