Plateforme
php
Composant
phpgurukul-online-shopping-portal-project
Corrigé dans
2.1.1
CVE-2026-5552 identifie une vulnérabilité d'injection SQL dans le projet PHPGurukul Online Shopping Portal Project, version 2.1. Cette faille se trouve dans le fichier /sub-category.php et permet à un attaquant d'injecter des requêtes SQL arbitraires, potentiellement compromettant l'intégrité des données. L'exploitation de cette vulnérabilité est possible à distance et un exploit a été rendu public. Actuellement, aucun correctif officiel n'est disponible.
Une vulnérabilité d'injection SQL a été identifiée dans le projet Online Shopping Portal Project de PHPGurukul, version 2.1, plus précisément dans le fichier /sub-category.php et le composant Parameter Handler. La vulnérabilité découle d'une gestion incorrecte de l'argument 'pid', permettant l'injection de code SQL malveillant. L'exploitation à distance est possible, ce qui signifie qu'un attaquant peut exploiter cette faiblesse depuis n'importe quel endroit disposant d'un accès réseau. La vulnérabilité est notée CVSS 6.3, ce qui indique un risque modéré. Une exploitation réussie pourrait permettre à un attaquant d'accéder, de modifier ou de supprimer des données sensibles dans la base de données, compromettant l'intégrité et la confidentialité du système. La disponibilité publique d'un exploit augmente considérablement le risque d'attaques.
La vulnérabilité réside dans le fichier /sub-category.php, plus précisément dans la gestion de l'argument 'pid'. Un attaquant peut manipuler cet argument pour injecter du code SQL malveillant. L'exploitation est à distance, permettant aux attaquants d'exploiter la vulnérabilité depuis n'importe quel endroit disposant d'un accès réseau. La disponibilité publique de l'exploit diminue la barrière à l'entrée pour les attaquants de différents niveaux de compétence. L'impact potentiel comprend la perte de données, la modification des données et le déni de service. L'absence de correctif officiel souligne l'urgence de mettre en œuvre des mesures d'atténuation.
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle n'est disponible de PHPGurukul pour cette vulnérabilité. La mesure d'atténuation la plus immédiate consiste à mettre à niveau vers une version plus récente du projet Online Shopping Portal Project, si elle existe. En attendant, une validation et une désinfection rigoureuses des entrées, en particulier du paramètre 'pid', sont fortement recommandées. L'utilisation d'instructions préparées ou de procédures stockées peut aider à prévenir l'injection SQL. La surveillance active des journaux du serveur à la recherche d'activités suspectes est également essentielle. Envisagez de mettre en œuvre un pare-feu d'application Web (WAF) pour filtrer le trafic malveillant.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /sub-category.php. Revise y sanee el código para evitar futuras inyecciones SQL, utilizando consultas preparadas o funciones de escape adecuadas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une technique où un attaquant insère du code SQL malveillant dans une requête de base de données, ce qui lui permet potentiellement d'accéder, de modifier ou de supprimer des données sensibles.
CVSS (Common Vulnerability Scoring System) est un standard pour évaluer la gravité des vulnérabilités de sécurité. Un score de 6.3 indique un risque modéré.
Mettez en œuvre les mesures d'atténuation recommandées, telles que la validation des entrées et la surveillance des journaux. Recherchez des mises à jour du projet et mettez à niveau vers la dernière version dès que possible.
Plusieurs outils d'analyse de vulnérabilités peuvent aider à détecter l'injection SQL. Les options populaires incluent OWASP ZAP et SQLMap.
Vous pouvez trouver plus d'informations sur l'injection SQL sur le site Web d'OWASP (Open Web Application Security Project) : https://owasp.org/www-project-top-ten/.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.