Scanner gratuitement
HIGHCVE-2026-6490CVSS 7.3

QueryMine sms Injection SQL dans la requête GET du paramètre Request deletecourse.php

Plateforme

php

Composant

querymine-sms

Corrigé dans

7.0.1

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

Une vulnérabilité d'injection SQL a été identifiée dans QueryMine sms, affectant les versions jusqu'à 7ab5a9ea196209611134525ffc18de25c57d9593. L'exploitation de l'argument ID dans le fichier admin/deletecourse.php permet d'injecter du code SQL. Cette faille est exploitable à distance et a été rendue publique. QueryMine sms utilise un modèle de publication continue, ce qui rend difficile l'identification précise des versions affectées ou corrigées.

Impact et Scénarios d'Attaque

Une vulnérabilité d'injection SQL a été identifiée dans QueryMine sms jusqu'à la version 7ab5a9ea196209611134525ffc18de25c57d9593. Cette vulnérabilité affecte une fonction inconnue à l'intérieur du fichier admin/deletecourse.php, plus précisément le gestionnaire de paramètres de requête GET. Un attaquant peut exploiter cette faiblesse en manipulant l'argument ID, ce qui permet l'exécution de code SQL malveillant. L'exploitation est à distance, ce qui signifie qu'un attaquant peut lancer l'attaque depuis n'importe quel endroit disposant d'un accès réseau. La disponibilité publique de l'exploit augmente considérablement le risque d'attaques. Étant donné que QueryMine sms utilise un modèle de publication continue, les correctifs de version spécifiques peuvent ne pas être disponibles de manière traditionnelle. Il est recommandé de surveiller les mises à jour du fournisseur et d'appliquer les correctifs dès qu'ils sont disponibles.

Contexte d'Exploitation

La vulnérabilité d'injection SQL se trouve dans le fichier admin/deletecourse.php et est déclenchée par la manipulation du paramètre ID dans une requête GET. Un attaquant peut injecter du code SQL malveillant dans ce paramètre, qui est ensuite exécuté contre la base de données. L'exploitation est à distance, ne nécessitant pas d'accès physique au serveur. La disponibilité publique de l'exploit facilite l'exploitation par des attaquants ayant différents niveaux de compétences techniques. Une exploitation réussie peut entraîner la divulgation d'informations confidentielles, la modification de données et la compromission du système. L'absence d'une solution de correctif spécifique augmente l'urgence d'appliquer les dernières mises à jour et de mettre en œuvre des mesures de sécurité supplémentaires.

Qui Est à Risquetraduction en cours…

Organizations utilizing QueryMine sms for SMS management, particularly those handling sensitive customer data or operating in regulated industries, are at significant risk. Shared hosting environments where multiple users share the same QueryMine instance are also particularly vulnerable, as a compromise of one user's account could potentially expose data for all users.

Étapes de Détectiontraduction en cours…

• linux / server:

journalctl -u querymine -g "SQL injection"

• generic web:

curl -I 'http://your-querymine-instance/admin/deletecourse.php?id='; # Check for SQL errors in response headers

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.04% (percentile 11%)

CISA SSVC

Exploitationpoc
Automatisableyes
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R7.3HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityLowRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantquerymine-sms
FournisseurQueryMine
Plage affectéeCorrigé dans
7ab5a9ea196209611134525ffc18de25c57d9593 – 7ab5a9ea196209611134525ffc18de25c57d95937.0.1

Classification de Faiblesse (CWE)

CWE-89CWE-74

Chronologie

  1. Réservé
  2. Publiée
  3. EPSS mis à jour
Sans correctif — 37 jours depuis la divulgation

Mitigation et Contournements

En raison du modèle de publication continue de QueryMine sms, une solution de correctif spécifique n'est pas fournie. L'atténuation principale consiste à appliquer les dernières mises à jour de QueryMine sms dès qu'elles sont disponibles. De plus, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires telles que la validation et la désinfection de toutes les entrées utilisateur, l'application du principe du moindre privilège aux comptes de base de données et la surveillance du trafic réseau à la recherche d'activités suspectes. La segmentation du réseau peut limiter l'impact d'une exploitation potentielle. Il est essentiel de revoir la configuration de sécurité de l'application et de la base de données pour identifier et corriger toute autre vulnérabilité potentielle. La mise en œuvre d'un pare-feu applicatif web (WAF) peut aider à bloquer les attaques connues.

Comment corrigertraduction en cours…

Actualice a la última versión disponible de QueryMine sms. Debido al modelo de lanzamiento continuo, consulte la documentación oficial o contacte con el proveedor para obtener información sobre las versiones específicas afectadas y las actualizaciones disponibles.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

Qu'est-ce que CVE-2026-6490 — SQL Injection dans QueryMine sms ?

L'injection SQL est une vulnérabilité de sécurité qui permet aux attaquants d'exécuter du code SQL malveillant dans une base de données.

Suis-je affecté(e) par CVE-2026-6490 dans QueryMine sms ?

Cette vulnérabilité pourrait permettre à un attaquant d'accéder à des informations confidentielles, de modifier des données ou de prendre le contrôle du système.

Comment corriger CVE-2026-6490 dans QueryMine sms ?

Vous devez mettre à jour vers la dernière version disponible de QueryMine sms dès que possible. Vous devez également mettre en œuvre des mesures de sécurité supplémentaires, telles que la validation des entrées et la surveillance du trafic réseau.

CVE-2026-6490 est-il activement exploité ?

En raison du modèle de publication continue de QueryMine sms, un correctif spécifique n'est pas fourni. La mise à jour vers la dernière version est la meilleure atténuation.

Où trouver l'avis officiel de QueryMine sms pour CVE-2026-6490 ?

Vous pouvez trouver plus d'informations sur cette vulnérabilité dans les bases de données de vulnérabilités, telles que CVE (Common Vulnerabilities and Exposures).

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE