Plateforme
php
Composant
itsourcecode-free-hotel-reservation-system
Corrigé dans
1.0.1
Une vulnérabilité d'injection SQL a été découverte dans le système Free Hotel Reservation System, affectant les versions 1.0.0 à 1.0. Cette faille permet à un attaquant d'injecter du code SQL malveillant via la manipulation de l'argument email. L'exploitation peut être initiée à distance, et un exploit est déjà disponible publiquement. No official patch available.
Une vulnérabilité d'injection SQL a été découverte dans le système Free Hotel Reservation System 1.0, plus précisément dans le fichier /hotel/admin/login.php. Cette faille, identifiée comme CVE-2026-5551, affecte le composant 'Parameter Handler' et permet à un attaquant de manipuler l'argument 'email' pour exécuter du code SQL malveillant. La gravité de la vulnérabilité est évaluée à 7.3 selon l'échelle CVSS, ce qui indique un risque important. Le fait que l'exploit soit publiquement disponible et puisse être lancé à distance augmente considérablement le danger pour les utilisateurs de ce système. L'injection SQL peut permettre aux attaquants d'accéder, de modifier ou de supprimer des données sensibles de la base de données, compromettant l'intégrité et la confidentialité du système de réservation d'hôtel. Il est crucial de prendre des mesures immédiates pour atténuer ce risque, bien qu'aucune solution officielle n'ait été fournie.
La vulnérabilité CVE-2026-5551 est exploitée par la manipulation du paramètre 'email' dans le fichier /hotel/admin/login.php du système Free Hotel Reservation System 1.0. Un attaquant peut injecter du code SQL malveillant dans ce paramètre, qui est ensuite exécuté sur la base de données du système. L'exploit est facilement accessible au public, ce qui signifie que toute personne ayant des connaissances de base en SQL peut l'utiliser pour attaquer le système. La nature à distance de l'exploitation permet aux attaquants de lancer des attaques depuis n'importe quel endroit, ce qui augmente le risque de compromission. L'absence d'une correction officielle aggrave la situation, car les systèmes vulnérables restent exposés aux attaques jusqu'à ce que des mesures d'atténuation soient mises en œuvre.
Small to medium-sized hotels and businesses utilizing the itsourcecode Free Hotel Reservation System, particularly those running older, unpatched versions. Shared hosting environments where multiple customers share the same server infrastructure are also at increased risk, as a compromise of one customer could potentially lead to the compromise of others.
• php / web:
grep -r "email = '.*?'" /hotel/admin/login.php• php / web:
curl -I http://your-hotel-system.com/hotel/admin/login.php?email='; DROP TABLE users;--• generic web: Monitor access logs for unusual SQL query patterns or errors related to the database.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucune correction officielle (fix) n'a été publiée pour CVE-2026-5551, l'atténuation immédiate se concentre sur des mesures préventives. Les administrateurs du système Free Hotel Reservation System 1.0 sont fortement conseillés de désactiver temporairement l'accès à la page de connexion d'administration (/hotel/admin/login.php) jusqu'à ce qu'une solution soit mise en œuvre. De plus, il est essentiel de revoir et de renforcer les politiques de sécurité de la base de données, y compris l'utilisation de mots de passe robustes et la limitation des privilèges d'accès. La mise en œuvre d'un pare-feu d'applications web (WAF) peut aider à filtrer le trafic malveillant et à prévenir les attaques par injection SQL. La surveillance continue des journaux du système à la recherche d'activités suspectes est essentielle pour détecter et répondre aux tentatives d'exploitation potentielles. Il est également recommandé de contacter le fournisseur du système pour obtenir des mises à jour et des correctifs de sécurité.
Actualice el sistema a una versión corregida o parcheada por el proveedor. Implemente validación y sanitización de entradas para prevenir inyecciones SQL. Considere utilizar consultas preparadas o procedimientos almacenados para mitigar el riesgo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5551 is a SQL Injection vulnerability affecting versions 1.0.0–1.0 of itsourcecode Free Hotel Reservation System. Attackers can manipulate the 'email' parameter to inject malicious SQL code, potentially gaining unauthorized access to data.
If you are using itsourcecode Free Hotel Reservation System version 1.0.0–1.0, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
The recommended fix is to upgrade to a patched version of itsourcecode Free Hotel Reservation System. Until a patch is available, implement input validation and WAF rules as temporary mitigations.
Yes, a public proof-of-concept exists, indicating a high probability of active exploitation. Immediate action is required to mitigate the risk.
Please refer to the itsourcecode website or relevant security forums for the official advisory regarding CVE-2026-5551.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.