Plateforme
php
Corrigé dans
1.0.1
CVE-2026-5035 révèle une vulnérabilité d'injection SQL dans code-projects Accounting System 1.0. La faille se trouve dans le fichier /viewwork.php et est causée par la manipulation de l'argument 'enid'. La version affectée est 1.0. Aucun correctif officiel n'est actuellement disponible.
Une vulnérabilité d'injection SQL a été identifiée dans le système de comptabilité 'code-projects' version 1.0. Cette vulnérabilité se trouve dans le fichier /viewwork.php du composant 'Parameter Handler', concernant spécifiquement l'argument enid. Un attaquant distant peut exploiter cette vulnérabilité en manipulant cet argument pour exécuter des requêtes SQL malveillantes contre la base de données. La divulgation publique de l'exploit augmente considérablement le risque d'exploitation, car les attaquants peuvent utiliser les informations disponibles pour compromettre les systèmes vulnérables. L'absence de correctif disponible aggrave la situation, nécessitant une action immédiate pour atténuer le risque. L'impact potentiel comprend les violations de données, la modification des enregistrements comptables et la compromission du système.
La vulnérabilité d'injection SQL dans le système de comptabilité 'code-projects' 1.0 est exploitée par la manipulation du paramètre enid dans le fichier /viewwork.php. La nature distante de la vulnérabilité permet à un attaquant de l'exploiter sans avoir besoin d'un accès physique au système. La divulgation publique de l'exploit facilite l'exploitation, car les attaquants ont accès à des informations détaillées sur la façon d'exploiter la vulnérabilité. Le composant 'Parameter Handler' est responsable du traitement des paramètres d'entrée, et l'absence de validation adéquate de en_id permet l'injection de code SQL. Cette vulnérabilité est particulièrement dangereuse car elle peut permettre aux attaquants d'accéder, de modifier ou de supprimer des données sensibles de la base de données, compromettant l'intégrité et la confidentialité du système de comptabilité.
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
Étant donné l'absence de correctif officiel pour CVE-2026-5035, les organisations utilisant le système de comptabilité 'code-projects' version 1.0 doivent mettre en œuvre des mesures d'atténuation immédiates. Celles-ci incluent la segmentation du réseau pour limiter l'accès à la base de données, le déploiement de pare-feu d'applications web (WAF) pour filtrer le trafic malveillant et un examen approfondi du code source pour identifier et corriger la vulnérabilité. Il est fortement recommandé de réaliser des audits de sécurité périodiques et de respecter le principe du 'moindre privilège' pour limiter les permissions des utilisateurs. Une surveillance proactive des journaux du système à la recherche d'activités suspectes est également essentielle. Envisagez de passer à une version plus sécurisée du système, si elle est disponible, comme solution à long terme la plus efficace.
Mettez à jour le système Accounting System vers une version corrigée qui résout la vulnérabilité d'injection SQL (SQL Injection) dans le fichier view_work.php. S'il n'y a pas de version disponible, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que la validation et l'assainissement des entrées utilisateur, en particulier le paramètre en_id, pour prévenir les attaques par injection SQL (SQL Injection).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une vulnérabilité de sécurité qui permet aux attaquants d'insérer du code SQL malveillant dans des requêtes de base de données, ce qui peut entraîner un accès non autorisé, une modification ou une suppression de données.
Cela signifie que les informations sur la façon d'exploiter la vulnérabilité sont disponibles publiquement, ce qui augmente le risque qu'elle soit utilisée par des attaquants.
Mettez en œuvre des mesures d'atténuation immédiates, telles que la segmentation du réseau et l'examen du code source. Surveillez proactivement les journaux du système à la recherche d'activités suspectes.
Actuellement, il n'y a pas de correctif officiel disponible pour CVE-2026-5035.
Mettez en œuvre des pratiques de développement sécurisées, effectuez des audits de sécurité réguliers et respectez le principe du 'moindre privilège'.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.