Vulnérabilité d'injection SQL (SQL Injection) dans PHPGurukul Online Shopping Portal Project via le paramètre cancelorder.php
Plateforme
php
Composant
phpgurukul-online-shopping-portal-project
Corrigé dans
2.1.1
Une vulnérabilité d'injection SQL a été découverte dans le projet PHPGurukul Online Shopping Portal Project, version 2.1. Cette faille, située dans le fichier /cancelorder.php, permet à un attaquant de manipuler l'argument 'oid' pour exécuter des requêtes SQL malveillantes. L'impact potentiel est la compromission de la base de données et l'accès non autorisé aux informations sensibles. No official patch available.
Impact et Scénarios d'Attaque
Une vulnérabilité d'injection SQL a été identifiée dans le projet Online Shopping Portal Project de PHPGurukul, version 2.1. La vulnérabilité réside dans le fichier /cancelorder.php du composant Parameter Handler. Les attaquants peuvent manipuler l'argument oid pour injecter du code SQL malveillant, compromettant potentiellement l'intégrité et la confidentialité de la base de données. Le score CVSS est de 6.3, indiquant un risque modéré. La disponibilité publique d'un exploit augmente considérablement le risque d'exploitation. Cela pourrait permettre aux attaquants d'accéder à des informations sensibles, de modifier des données ou même de prendre le contrôle du système.
Contexte d'Exploitation
La vulnérabilité réside dans la façon dont l'argument oid dans /cancelorder.php est traité. Un attaquant peut manipuler cet argument pour injecter du code SQL, qui est ensuite exécuté contre la base de données. En raison de la nature à distance de l'exploit et de sa disponibilité publique, le risque d'attaque est important. Les attaquants pourraient utiliser cela pour voler des informations client, modifier l'inventaire ou interrompre les opérations du site Web. L'absence d'une correction immédiate nécessite une action rapide pour atténuer le risque.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- EPSS mis à jour
Mitigation et Contournements
Actuellement, aucune correction officielle n'a été publiée par PHPGurukul pour cette vulnérabilité. L'atténuation immédiate et la plus efficace consiste à désactiver temporairement la fonctionnalité d'annulation de commande via le fichier /cancelorder.php. Les administrateurs sont fortement encouragés à mettre à niveau vers une version plus récente du projet Online Shopping Portal Project dès qu'elle sera disponible. La mise en œuvre de pratiques de codage sécurisées, telles que l'utilisation de requêtes paramétrées ou de procédures stockées, peut aider à prévenir de futures vulnérabilités d'injection SQL. Surveiller activement les journaux du serveur à la recherche d'activités suspectes est également crucial.
Comment corrigertraduction en cours…
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cancelorder.php. Verifique y sanee las entradas del usuario, especialmente el argumento 'oid', para prevenir la ejecución de código SQL malicioso. Implemente consultas parametrizadas o procedimientos almacenados para mitigar el riesgo de inyección SQL.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-5636 — SQL Injection dans PHPGurukul Online Shopping Portal Project ?
Un score CVSS de 6.3 indique un niveau de gravité modéré. Cela signifie que la vulnérabilité peut avoir un impact significatif si elle est exploitée, mais n'est pas considérée comme critique.
Suis-je affecté(e) par CVE-2026-5636 dans PHPGurukul Online Shopping Portal Project ?
Si la fonctionnalité est essentielle, mettez en œuvre des mesures de sécurité supplémentaires telles que des pare-feu d'applications Web (WAF) et des systèmes de détection d'intrusion (IDS).
Comment corriger CVE-2026-5636 dans PHPGurukul Online Shopping Portal Project ?
Utilisez des requêtes paramétrées ou des procédures stockées, validez et échappez toutes les entrées utilisateur et maintenez votre logiciel à jour.
CVE-2026-5636 est-il activement exploité ?
Plusieurs outils d'analyse de vulnérabilités peuvent aider à identifier les vulnérabilités d'injection SQL, tels que OWASP ZAP et Burp Suite.
Où trouver l'avis officiel de PHPGurukul Online Shopping Portal Project pour CVE-2026-5636 ?
Vous pouvez contacter le développeur de PHPGurukul ou rechercher de l'aide sur des forums de sécurité en ligne.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.