Scanner gratuitement
HIGHCVE-2026-6038CVSS 7.3

Injection SQL code-projects Vehicle Showroom Management System RegisterCustomerFunction.php

Plateforme

php

Composant

vehicle-showroom-management-system

Corrigé dans

1.0.1

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

CVE-2026-6038 identifie une vulnérabilité d'injection SQL dans le système de gestion de salle d'exposition de véhicules version 1.0. Cette faille affecte une fonction inconnue du fichier /util/RegisterCustomerFunction.php et permet à un attaquant d'exécuter des requêtes SQL malveillantes à distance. Un exploit est publiquement disponible.

Impact et Scénarios d'Attaque

Une vulnérabilité d'injection SQL a été identifiée dans le Système de Gestion de Concessionnaires de Véhicules code-projects version 1.0. Cette vulnérabilité se trouve dans une fonction inconnue du fichier /util/RegisterCustomerFunction.php. Un attaquant peut manipuler à distance l'argument BRANCH_ID pour injecter du code SQL malveillant, ce qui pourrait entraîner une violation de données, une modification de données ou même une compromission du système. Le score CVSS est de 7,3, ce qui indique un niveau de gravité élevé. La disponibilité publique d'un exploit augmente considérablement le risque d'exploitation.

Contexte d'Exploitation

La vulnérabilité est exploitée en manipulant le paramètre BRANCH_ID dans la fonction /util/RegisterCustomerFunction.php. En raison de la disponibilité publique de l'exploit, les attaquants peuvent injecter directement du code SQL malveillant dans l'application à partir d'un emplacement distant. Cela signifie qu'aucun accès physique au système n'est requis pour l'exploitation. La nature à distance de l'exploitation la rend particulièrement dangereuse, car les attaquants peuvent lancer des attaques de n'importe où dans le monde. L'absence de correctif immédiat nécessite une action rapide pour protéger les données sensibles.

Qui Est à Risquetraduction en cours…

Organizations utilizing the code-projects Vehicle Showroom Management System, particularly those with publicly accessible instances and inadequate input validation measures, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire system.

Étapes de Détectiontraduction en cours…

• php: Examine web server access logs for requests to /util/RegisterCustomerFunction.php containing unusual characters or SQL keywords in the BRANCH_ID parameter. • generic web: Use curl to test the endpoint with various SQL injection payloads: curl 'http://your-vehicle-showroom-system/util/RegisterCustomerFunction.php?BRANCH_ID=1' UNION SELECT 1,2,3 -- - • generic web: Check response headers for SQL errors or unexpected behavior when injecting SQL payloads. • php: Review the source code of /util/RegisterCustomerFunction.php for insecure SQL query construction.

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.04% (percentile 12%)

CISA SSVC

Exploitationpoc
Automatisableyes
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R7.3HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityLowRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantvehicle-showroom-management-system
Fournisseurcode-projects
Plage affectéeCorrigé dans
1.0 – 1.01.0.1

Classification de Faiblesse (CWE)

CWE-89CWE-74

Chronologie

  1. Réservé
  2. Publiée
  3. EPSS mis à jour
Sans correctif — 44 jours depuis la divulgation

Mitigation et Contournements

Actuellement, aucun correctif officiel n'est disponible pour cette vulnérabilité. La mitigation immédiate consiste à désactiver temporairement la fonctionnalité affectée dans /util/RegisterCustomerFunction.php, en particulier la fonction utilisant l'argument BRANCH_ID. Les administrateurs sont fortement invités à mettre à niveau vers une version corrigée dès qu'elle sera disponible. La mise en œuvre d'un pare-feu applicatif web (WAF) et le renforcement des politiques de sécurité de la base de données peuvent aider à réduire le risque dans l'intervalle. La validation et la désinfection rigoureuses de toutes les entrées utilisateur sont essentielles pour prévenir de futures attaques par injection SQL.

Comment corriger

Mettez à jour le système Vehicle Showroom Management System vers la dernière version disponible pour atténuer la vulnérabilité d'injection SQL. Examinez et corrigez l'entrée BRANCH_ID dans le fichier /util/RegisterCustomerFunction.php pour prévenir l'exécution de code malveillant. Implémentez la validation et l'échappement des données pour éviter de futures injections SQL.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-6038 — SQL Injection dans Vehicle Showroom Management System ?

L'injection SQL est un type d'attaque qui permet aux attaquants d'insérer du code SQL malveillant dans une application pour accéder ou manipuler la base de données.

Suis-je affecté(e) par CVE-2026-6038 dans Vehicle Showroom Management System ?

Si vous utilisez la version 1.0 du Système de Gestion de Concessionnaires de Véhicules, vous êtes probablement vulnérable. Effectuez des tests d'intrusion pour confirmer.

Comment corriger CVE-2026-6038 dans Vehicle Showroom Management System ?

Isolez le système affecté, modifiez les mots de passe de la base de données et effectuez un audit de sécurité complet.

CVE-2026-6038 est-il activement exploité ?

Plusieurs outils d'analyse de vulnérabilités peuvent détecter les injections SQL, gratuits et commerciaux.

Où trouver l'avis officiel de Vehicle Showroom Management System pour CVE-2026-6038 ?

Vous pouvez trouver plus d'informations sur CVE-2026-6038 dans les bases de données de vulnérabilités telles que le NIST NVD.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE