Scanner gratuitement
MEDIUMCVE-2026-5606CVSS 6.3

PHPGurukul Online Shopping Portal Project Parameter order-details.php injection SQL

Plateforme

php

Composant

phpgurukul-online-shopping-portal-project

Corrigé dans

2.1.1

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

Une vulnérabilité d'injection SQL a été découverte dans le projet PHPGurukul Online Shopping Portal Project, affectant la version 2.1. Cette faille se situe dans une fonction inconnue du fichier /order-details.php et permet à un attaquant d'injecter du code SQL malveillant en manipulant l'argument orderid. L'exploitation est possible à distance et l'exploit a été rendu public. Actuellement, aucun correctif officiel n'est disponible.

Impact et Scénarios d'Attaque

Une vulnérabilité d'injection SQL a été découverte dans le projet Online Shopping Portal Project de PHPGurukul, version 2.1. Identifiée comme CVE-2026-5606, ce défaut affecte une fonction inconnue à l'intérieur du fichier /order-details.php, plus précisément dans le composant Parameter Handler. Un attaquant peut exploiter cette vulnérabilité en manipulant l'argument 'orderid', ce qui pourrait permettre un accès non autorisé à la base de données, la modification de données sensibles ou même l'exécution de code arbitraire sur le serveur. Le risque est significatif car l'exploitation peut être effectuée à distance, sans nécessiter d'accès physique au système. La sévérité, selon le CVSS, est classée à 6.3, indiquant un risque moyen-élevé. L'absence d'une correction (fix) disponible aggrave la situation, nécessitant une évaluation et une atténuation urgentes.

Contexte d'Exploitation

La vulnérabilité CVE-2026-5606 réside dans le fichier /order-details.php du composant Parameter Handler du projet Online Shopping Portal Project 2.1. Un attaquant peut exploiter cette vulnérabilité en envoyant une requête HTTP malveillante qui manipule le paramètre 'orderid' avec du code SQL injecté. Ce code injecté peut être utilisé pour exécuter des requêtes SQL arbitraires contre la base de données sous-jacente. L'exploitation est à distance, ce qui signifie que l'attaquant n'a pas besoin d'un accès physique au serveur. L'absence de validation appropriée du paramètre 'orderid' permet aux attaquants d'injecter du code SQL, compromettant l'intégrité et la confidentialité des données. La vulnérabilité est particulièrement dangereuse dans les environnements de commerce électronique, où les informations sensibles des clients, telles que les détails des cartes de crédit et les adresses, sont stockées dans la base de données.

Qui Est à Risquetraduction en cours…

Organizations and individuals using the PHPGurukul Online Shopping Portal Project version 2.1, particularly those hosting their own instances or using shared hosting environments, are at risk. Sites with weak input validation or inadequate security configurations are especially vulnerable.

Étapes de Détectiontraduction en cours…

• php / web:

grep -r 'orderid=.*;' /var/www/html/order-details.php

• generic web:

curl -I 'http://your-website.com/order-details.php?orderid='; # Check for SQL errors in response headers

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.01% (percentile 1%)

CISA SSVC

Exploitationpoc
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:R6.3MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityLowRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantphpgurukul-online-shopping-portal-project
FournisseurPHPGurukul
Plage affectéeCorrigé dans
2.1 – 2.12.1.1

Classification de Faiblesse (CWE)

CWE-89CWE-74

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour
Sans correctif — 48 jours depuis la divulgation

Mitigation et Contournements

Étant donné l'absence d'une correction officielle fournie par le développeur, l'atténuation de CVE-2026-5606 nécessite des mesures proactives. Nous recommandons fortement de mettre à jour vers une version plus sécurisée du projet Online Shopping Portal Project si une telle version est disponible. En l'absence de mise à jour, la mise en œuvre d'une validation et d'une désinfection rigoureuses de toutes les entrées utilisateur, en particulier le paramètre 'orderid', est essentielle. L'utilisation d'instructions préparées ou de procédures stockées est une pratique fondamentale pour prévenir l'injection SQL. De plus, la restriction des permissions d'accès à la base de données pour l'utilisateur de l'application aux permissions minimales requises peut limiter les dommages potentiels en cas d'exploitation. La surveillance active des journaux du serveur à la recherche d'activités suspectes liées à la manipulation du paramètre 'orderid' est également une mesure préventive importante.

Comment corrigertraduction en cours…

Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida.  Verifique y sanee todas las entradas de usuario, especialmente el parámetro 'orderid', para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-5606 — SQL Injection dans PHPGurukul Online Shopping Portal Project ?

L'injection SQL est une technique d'attaque qui permet aux attaquants d'insérer du code SQL malveillant dans une requête de base de données, ce qui peut entraîner un accès non autorisé aux données, une modification des données ou une exécution de code arbitraire.

Suis-je affecté(e) par CVE-2026-5606 dans PHPGurukul Online Shopping Portal Project ?

Cette vulnérabilité pourrait permettre aux attaquants d'accéder à des informations sensibles des utilisateurs, telles que des données personnelles, des informations de paiement et des détails de commande.

Comment corriger CVE-2026-5606 dans PHPGurukul Online Shopping Portal Project ?

Nous recommandons fortement de mettre à jour vers une version plus sécurisée du projet si une telle version est disponible. Si ce n'est pas possible, la mise en œuvre des mesures d'atténuation décrites ci-dessus est essentielle.

CVE-2026-5606 est-il activement exploité ?

Actuellement, il n'y a pas de correction officielle fournie par le développeur. Par conséquent, des mesures d'atténuation proactives sont nécessaires.

Où trouver l'avis officiel de PHPGurukul Online Shopping Portal Project pour CVE-2026-5606 ?

La surveillance active des journaux du serveur à la recherche d'activités suspectes liées à la manipulation du paramètre 'orderid' est également une mesure préventive importante.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE