Plateforme
php
Composant
leave-application-system
Corrigé dans
1.0.1
La CVE-2026-5326 décrit une vulnérabilité de contournement d'autorisation affectant le système Leave Application System 1.0. Plus précisément, une manipulation de l'argument ID dans le fichier /index.php?page=manage_user permet de contourner les mécanismes d'autorisation. L'impact est un accès non autorisé à des fonctionnalités ou données sensibles. La version affectée est la 1.0. Aucun correctif officiel n'est actuellement disponible.
Une vulnérabilité de contournement d'autorisation (CVE-2026-5326) a été identifiée dans le système de demande de congés SourceCodester version 1.0. Cette faille affecte une fonction inconnue dans le fichier /index.php?page=manage_user, plus précisément le composant 'User Information Handler'. Un attaquant peut manipuler l'argument 'ID' pour contourner les contrôles d'accès et potentiellement obtenir un accès non autorisé à des informations sensibles ou effectuer des actions au nom d'autres utilisateurs. La gravité de la vulnérabilité est notée 5.3 sur l'échelle CVSS. L'exploitation est à distance, ce qui signifie qu'un attaquant peut exploiter la vulnérabilité depuis n'importe où avec un accès réseau. La disponibilité publique d'un exploit aggrave le risque, car elle facilite l'exploitation par des acteurs malveillants.
La vulnérabilité réside dans la gestion de l'argument 'ID' au sein du composant 'User Information Handler' du fichier /index.php?page=manage_user. Un attaquant peut créer une requête malveillante qui modifie la valeur de l'argument 'ID' pour accéder à des informations ou à des fonctions auxquelles il n'aurait normalement pas accès. La nature à distance de l'exploitation signifie qu'un attaquant n'a pas besoin de se trouver sur le même réseau que le serveur vulnérable. La disponibilité publique d'un exploit simplifie considérablement le processus d'exploitation, augmentant le risque d'attaques. Un audit de sécurité approfondi du code source est recommandé pour identifier et corriger d'autres vulnérabilités potentielles.
Organizations utilizing SourceCodester Leave Application System version 1.0, particularly those deploying it on shared hosting environments or without robust access controls, are at significant risk. Companies handling sensitive employee data, such as HR departments and payroll systems, should prioritize remediation.
• php / server:
grep -r "index.php?page=manage_user" /var/www/html/• php / server:
auditd -l | grep manage_user• generic web:
curl -I https://your-domain.com/index.php?page=manage_userdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle n'a été fournie par SourceCodester pour CVE-2026-5326. L'atténuation immédiate la plus efficace est de mettre à niveau vers une version plus récente du système de demande de congés dès qu'elle est disponible. En attendant, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès à l'application aux seuls utilisateurs autorisés, la surveillance de l'activité du système à la recherche de signes d'exploitation et le déploiement d'un pare-feu applicatif web (WAF) pour filtrer le trafic malveillant. Il est essentiel de se tenir informé des annonces de sécurité relatives à SourceCodester et d'appliquer les mises à jour dès qu'elles sont disponibles. L'absence de correction officielle nécessite une posture de sécurité proactive.
Actualizar a una versión parcheada o implementar controles de acceso adecuados para restringir el acceso no autorizado a la información del usuario. Validar y sanitizar las entradas del usuario para prevenir la manipulación de parámetros.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie qu'un attaquant peut contourner les contrôles de sécurité et accéder à des ressources ou à des fonctions auxquelles il ne devrait pas avoir accès.
C'est un identifiant unique pour cette vulnérabilité spécifique, utilisé pour la suivre et la référencer dans les rapports de sécurité.
Mettez en œuvre des mesures de sécurité supplémentaires telles que la restriction de l'accès, la surveillance de l'activité et envisagez un WAF.
Oui, un exploit public est disponible, ce qui augmente le risque d'exploitation.
Tenez-vous informé des annonces de sécurité de SourceCodester et consultez les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.