Plateforme
php
Composant
itsourcecode-online-cellphone-system
Corrigé dans
1.0.1
Une vulnérabilité d'injection SQL a été découverte dans itsourcecode Online Cellphone System, affectant les versions 1.0.0 à 1.0. Cette faille permet à un attaquant d'injecter du code SQL malveillant via la manipulation de l'argument 'Name' dans le fichier /cp/available.php, ce qui peut compromettre l'intégrité des données et potentiellement permettre un accès non autorisé. L'exploit est publiquement disponible, ce qui augmente le risque d'exploitation. No official patch available.
Une vulnérabilité d'injection SQL a été identifiée dans itsourcecode Online Cellphone System version 1.0, plus précisément dans le fichier /cp/available.php, affectant le composant 'Parameter Handler'. Cette vulnérabilité permet à un attaquant distant de manipuler l'argument 'Name' afin d'exécuter du code SQL malveillant sur la base de données du système. L'impact potentiel est sévère, incluant l'extraction possible d'informations confidentielles, la modification de données, voire la prise de contrôle du système. La disponibilité publique de l'exploit augmente considérablement le risque d'exploitation. Le score CVSS de 6.3 indique un risque modéré à élevé, nécessitant une attention immédiate.
La vulnérabilité se situe dans le fichier /cp/available.php au sein du composant 'Parameter Handler' du système itsourcecode Online Cellphone System 1.0. Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes HTTP malveillantes qui manipulent l'argument 'Name' pour injecter du code SQL. La nature distante de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour le compromettre. La disponibilité publique de l'exploit facilite l'exploitation par des attaquants ayant différents niveaux de compétences techniques. L'absence d'une correction officielle aggrave la situation, car le système reste vulnérable aux attaques.
Organizations using itsourcecode Online Cellphone System, particularly those with publicly accessible instances and those that haven't implemented robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same database are also particularly vulnerable, as a compromise of one user's account could potentially lead to a compromise of the entire database.
• php: Examine web server access logs for requests to /cp/available.php with unusual or malformed Name parameters. Look for patterns indicative of SQL injection attempts (e.g., ';--, UNION SELECT).
grep -i 'available.php.*Name.*(;|--)' /var/log/apache2/access.log• php: Review the source code of /cp/available.php for instances where the Name parameter is directly incorporated into SQL queries without proper sanitization or parameterization.
• generic web: Use a web vulnerability scanner (e.g., OWASP ZAP, Burp Suite) to automatically scan the application for SQL Injection vulnerabilities, focusing on the /cp/available.php endpoint.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle (fix) n'est fournie par itsourcecode pour cette vulnérabilité. La mitigation immédiate consiste à isoler le système itsourcecode Online Cellphone System 1.0 du réseau pour prévenir les attaques distantes. Nous recommandons vivement de contacter directement itsourcecode pour demander une mise à jour de sécurité. En attendant, des mesures de sécurité supplémentaires peuvent être mises en œuvre, telles que des pare-feu, des systèmes de détection d'intrusion (IDS) et une revue approfondie du code source afin d'identifier et de corriger la vulnérabilité d'injection SQL. L'application du principe du moindre privilège aux comptes de base de données peut également aider à limiter les dommages potentiels.
Actualice el sistema a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cp/available.php. Revise y sanee la entrada 'Name' para prevenir la ejecución de código SQL malicioso. Implemente validación y escape de datos en todas las entradas del usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est un type d'attaque qui permet à un attaquant d'insérer du code SQL malveillant dans une requête de base de données, ce qui peut entraîner un accès non autorisé aux données, une modification des données ou l'exécution de commandes arbitraires.
CVSS (Common Vulnerability Scoring System) est un standard pour évaluer la gravité des vulnérabilités de sécurité. Un score de 6.3 indique un risque modéré à élevé.
Isolez le système du réseau, contactez itsourcecode pour demander une mise à jour de sécurité et envisagez de mettre en œuvre des mesures de sécurité supplémentaires.
Il existe des scanners de vulnérabilités qui peuvent détecter les injections SQL. Une revue manuelle du code source est également possible.
Utilisez des requêtes paramétrées ou des procédures stockées, validez et échappez les entrées utilisateur et appliquez le principe du moindre privilège aux comptes de base de données.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.