Plateforme
php
Corrigé dans
1.0.1
CVE-2026-5034 met en évidence une vulnérabilité d'injection SQL dans code-projects Accounting System 1.0. La faille se situe dans le fichier /editcostumer.php et est causée par la manipulation de l'argument 'cosid'. La version affectée est 1.0. Aucun correctif officiel n'est actuellement disponible.
Une vulnérabilité d'injection SQL a été découverte dans le système de comptabilité Code-Projects version 1.0. Cette faille se situe dans le fichier /editcostumer.php, plus précisément dans le composant 'Parameter Handler'. Un attaquant peut exploiter cette vulnérabilité en manipulant l'argument cosid, ce qui pourrait lui permettre d'accéder, de modifier ou de supprimer des données sensibles de la base de données. La gravité de la vulnérabilité est classée à 7.3 selon le CVSS, indiquant un risque modérément élevé. Le fait que l'exploit ait déjà été publié représente un risque important, car cela facilite l'exploitation par des acteurs malveillants. L'absence de correctif (fix) disponible aggrave encore la situation, nécessitant une attention immédiate pour atténuer le risque.
La vulnérabilité d'injection SQL dans /editcostumer.php peut être exploitée à distance. Un attaquant peut envoyer des requêtes malveillantes au système, en manipulant le paramètre cosid pour injecter du code SQL. La publication de l'exploit facilite l'identification de la vulnérabilité et son exploitation ultérieure. Le composant 'Parameter Handler' semble être le point d'entrée de l'injection, ce qui suggère une validation insuffisante des entrées utilisateur. L'absence de désinfection appropriée des données d'entrée permet aux attaquants d'exécuter des commandes SQL arbitraires, compromettant l'intégrité et la confidentialité des données stockées dans la base de données. La nature à distance de l'exploitation implique qu'un attaquant peut compromettre le système depuis n'importe quel emplacement disposant d'un accès au réseau.
Organizations utilizing code-projects Accounting System version 1.0, particularly those hosting the application on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's account could potentially lead to the compromise of others.
• php / web:
curl -s -X POST -d "cos_id='; DROP TABLE users;--" http://your-accounting-system/edit_costumer.php | grep "error in your query" • generic web:
curl -I http://your-accounting-system/edit_costumer.php?cos_id='; SELECT version(); --disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
Étant donné qu'il n'existe pas de correctif (patch) officiel pour CVE-2026-5034, l'atténuation immédiate nécessite des mesures de sécurité supplémentaires. Il est fortement recommandé de déconnecter ou d'isoler le système de comptabilité Code-Projects version 1.0 jusqu'à ce qu'une solution puisse être mise en œuvre. La mise en place d'un pare-feu d'applications web (WAF) peut aider à bloquer les tentatives d'exploitation connues. De plus, il est essentiel de revoir et de renforcer les politiques d'accès à la base de données, en limitant les privilèges des utilisateurs et en appliquant le principe du moindre privilège. La surveillance active des journaux du système à la recherche d'activités suspectes est essentielle pour détecter et répondre aux attaques potentielles. Contactez le fournisseur du système de comptabilité pour demander une mise à jour ou un patch de sécurité.
Mettre à jour le système Accounting System vers une version corrigée qui corrige la vulnérabilité d'inyección SQL (SQL Injection) dans le fichier edit_costumer.php. S'il n'y a pas de version disponible, il est recommandé de valider et de nettoyer les entrées du paramètre cos_id pour empêcher l'exécution de code SQL malveillant.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5034 is a SQL Injection vulnerability affecting code-projects Accounting System version 1.0, allowing attackers to manipulate database queries through the /edit_costumer.php file.
If you are using code-projects Accounting System version 1.0, you are potentially affected. Check the vendor's website for updates or contact their support.
Upgrade to the latest patched version of code-projects Accounting System. Implement input validation and consider using a WAF as temporary mitigations.
A public proof-of-concept exploit is available, indicating a high likelihood of active exploitation.
Refer to the code-projects website or contact their support for the official advisory regarding CVE-2026-5034.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.