Plateforme
php
Composant
online-enrollment-system
Corrigé dans
1.0.1
Une vulnérabilité d'injection SQL a été identifiée dans le système d'inscription en ligne itsourcecode, affectant les versions 1.0.0 à 1.0. Cette faille permet à un attaquant d'injecter du code SQL malveillant via la manipulation de l'argument USERID. L'exploitation peut être initiée à distance, et un exploit est déjà disponible publiquement. No official patch available.
Une vulnérabilité d'injection SQL a été identifiée dans le système d'inscription en ligne itsourcecode version 1.0 (CVE-2026-5534). Cette faille réside dans le composant 'Parameter Handler' dans le fichier /sms/user/index.php?view=edit&id=10, concernant spécifiquement la manipulation de l'argument 'USERID'. Un attaquant distant peut exploiter cette vulnérabilité pour injecter du code SQL malveillant, compromettant potentiellement l'intégrité et la confidentialité de la base de données. La sévérité de la vulnérabilité est notée 7.3 selon le CVSS, indiquant un risque significatif. La disponibilité publique d'un exploit aggrave encore la situation, facilitant son utilisation par des acteurs malveillants. L'absence de correctif disponible implique que les systèmes affectés restent vulnérables jusqu'à ce qu'un correctif soit mis en œuvre.
La vulnérabilité CVE-2026-5534 est exploitée par la manipulation du paramètre 'USERID' dans l'URL /sms/user/index.php?view=edit&id=10. Un attaquant peut injecter du code SQL malveillant dans ce paramètre, qui est ensuite exécuté dans la base de données sous-jacente. La nature distante de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour exploiter cette vulnérabilité. La disponibilité publique d'un exploit facilite grandement l'exploitation, augmentant le risque d'attaques ciblées. L'absence d'authentification ou d'autorisation appropriées dans le traitement du paramètre 'USERID' est la cause première de cette vulnérabilité.
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
Compte tenu de l'absence de correctif officiel pour CVE-2026-5534, les administrateurs système utilisant itsourcecode Online Enrollment System 1.0 sont fortement conseillés de prendre des mesures immédiates pour atténuer le risque. Cela comprend, mais sans s'y limiter, l'isolement du système affecté du réseau, la mise en œuvre de pare-feu pour restreindre l'accès à /sms/user/index.php, et la surveillance active des journaux système à la recherche d'activités suspectes. Il convient d'envisager la mise à niveau vers une version plus sécurisée du système, si disponible, ou la mise en œuvre de mesures de sécurité supplémentaires, telles que des systèmes de détection d'intrusion (IDS) et des systèmes de prévention d'intrusion (IPS). La validation et la désinfection rigoureuses de toutes les entrées utilisateur sont essentielles pour éviter de futures injections SQL.
Actualice el sistema Online Enrollment System a una versión corregida. Verifique y sanee las entradas del usuario en el archivo index.php para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVSS 7.3 indique une vulnérabilité de haute sévérité avec un risque significatif d'exploitation.
Actuellement, il n'existe aucun correctif officiel fourni par itsourcecode.
Isolez le système, restreignez l'accès à l'URL vulnérable, surveillez les journaux et envisagez des mesures de sécurité supplémentaires.
C'est une technique d'attaque qui permet aux attaquants d'injecter du code SQL malveillant dans une base de données via des entrées utilisateur.
Vous pouvez trouver plus d'informations sur les bases de données de vulnérabilités telles que le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.