Plateforme
php
Composant
simple-laundry-system
Corrigé dans
1.0.1
Une vulnérabilité d'injection SQL a été découverte dans le système Simple Laundry System, version 1.0.0–1.0, plus précisément dans le composant Parameter Handler et le fichier /searchguest.php. Cette faille permet à un attaquant de manipuler l'argument searchServiceId pour exécuter des requêtes SQL malveillantes, potentiellement compromettant l'intégrité des données. L'exploitation est possible à distance et un exploit public est disponible, ce qui augmente le risque d'attaques. No official patch available.
Une vulnérabilité d'injection SQL a été identifiée dans Simple Laundry System 1.0, spécifiquement dans le fichier /searchguest.php. Cette faille se situe dans le composant 'Parameter Handler' et est exploitée par la manipulation de l'argument 'searchServiceId'. Un attaquant distant peut exploiter cette vulnérabilité pour exécuter des requêtes SQL malveillantes, compromettant potentiellement l'intégrité et la confidentialité de la base de données. La sévérité de la vulnérabilité, selon le CVSS, est de 7.3, ce qui indique un risque élevé. La disponibilité publique de l'exploit aggrave la situation, augmentant la probabilité d'attaques. L'absence de correctif (fix) implique que les systèmes affectés sont particulièrement vulnérables jusqu'à ce qu'une correction manuelle ou une mise à jour vers une version sécurisée soit mise en œuvre. Une exploitation réussie pourrait permettre aux attaquants d'accéder à des informations sensibles, de modifier des données ou même de prendre le contrôle du système.
La vulnérabilité CVE-2026-5564 réside dans le fichier /searchguest.php du composant 'Parameter Handler' dans Simple Laundry System 1.0. L'argument 'searchServiceId' est susceptible d'injection SQL en raison d'une validation inadéquate de l'entrée utilisateur. Un attaquant peut construire une requête SQL malveillante en manipulant cet argument, qui est ensuite exécutée contre la base de données. La nature distante de l'exploitation signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour exploiter la vulnérabilité. La disponibilité publique de l'exploit facilite l'exploitation par des attaquants ayant différents niveaux de compétences techniques. L'absence de correctif officiel (fix) augmente le risque d'exploitation et la nécessité de mesures de mitigation immédiates.
Organizations utilizing Simple Laundry System in environments where user input is directly incorporated into database queries are at significant risk. Shared hosting environments where multiple users share the same database instance are particularly vulnerable, as a compromise of one user's account could lead to the compromise of the entire system. Legacy configurations without proper input validation are also at increased risk.
• php: Examine access logs for requests to /searchguest.php containing unusual characters or patterns in the searchServiceId parameter.
grep "searchServiceId=.*;(SELECT|UNION|INSERT|DELETE|DROP)" /var/log/apache2/access.log• php: Search the /searchguest.php file for unsanitized use of the searchServiceId parameter in SQL queries.
grep -r "searchServiceId" /var/www/html/simple_laundry_system/• generic web: Use a vulnerability scanner to identify SQL Injection vulnerabilities in the /searchguest.php endpoint.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
Étant donné l'absence de correctif officiel pour CVE-2026-5564, la mitigation immédiate nécessite des mesures de sécurité supplémentaires. Nous recommandons fortement de déconnecter le système Simple Laundry System 1.0 du réseau jusqu'à ce qu'une solution puisse être appliquée. La mise en œuvre d'un pare-feu avec des règles strictes pour limiter l'accès à /searchguest.php peut aider à réduire la surface d'attaque. La réalisation d'un audit de code approfondi pour identifier et corriger la vulnérabilité d'injection SQL est cruciale. Envisagez de mettre en œuvre des techniques de validation et de sanitisation des entrées pour éviter de futures injections SQL. Surveillez les journaux du système à la recherche d'activités suspectes liées à la vulnérabilité. La mise à jour vers une version corrigée du logiciel, si elle est publiée à l'avenir, est la solution définitive.
Actualice el sistema Simple Laundry System a una versión corregida. Verifique las fuentes oficiales del proveedor para obtener instrucciones específicas de actualización o parche. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario, para prevenir futuras vulnerabilidades de inyección SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une technique d'attaque qui permet aux attaquants d'insérer du code SQL malveillant dans une requête de base de données, compromettant la sécurité.
Elle permet un accès non autorisé à la base de données, pouvant entraîner une perte ou une modification de données.
Déconnectez le système du réseau et recherchez une solution ou une mise à jour. Mettez en œuvre des mesures de sécurité supplémentaires, telles qu'un pare-feu.
Actuellement, il n'y a pas de correctif officiel pour cette vulnérabilité. Surveillez le fournisseur de logiciels pour les mises à jour.
Mettez en œuvre la validation et la sanitisation des entrées, utilisez des requêtes paramétrées et maintenez le logiciel à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.