Plateforme
php
Composant
simple-laundry-system
Corrigé dans
1.0.1
Une vulnérabilité de type SQL Injection a été découverte dans Simple Laundry System, affectant les versions 1.0.0 à 1.0. Cette faille permet à un attaquant d'injecter du code SQL malveillant, compromettant potentiellement l'intégrité et la confidentialité des données. L'exploitation est possible à distance et a été rendue publique, augmentant le risque d'attaques.
L'exploitation réussie de cette vulnérabilité SQL Injection permet à un attaquant d'accéder, de modifier ou de supprimer des données stockées dans la base de données de Simple Laundry System. Un attaquant pourrait potentiellement extraire des informations sensibles telles que les identifiants des utilisateurs, les données de transaction ou d'autres informations confidentielles. La capacité d'injecter du code SQL permet également un mouvement latéral au sein du système, permettant à l'attaquant d'accéder à d'autres ressources et de compromettre davantage le système. Cette vulnérabilité rappelle les risques associés aux injections SQL non filtrées, où les entrées utilisateur ne sont pas correctement validées avant d'être utilisées dans des requêtes SQL.
Cette vulnérabilité a été rendue publique le 2026-04-05. Un proof-of-concept (POC) est disponible publiquement, ce qui augmente la probabilité d'exploitation. La probabilité d'exploitation est considérée comme élevée (EPSS score élevé) en raison de la disponibilité du POC et de la facilité d'exploitation. Il n'y a pas d'informations disponibles concernant son ajout au catalogue KEV de CISA à ce jour.
Organizations utilizing Simple Laundry System in environments with direct user input to database queries are at significant risk. Shared hosting environments where multiple users share the same database instance are particularly vulnerable, as a successful attack could impact all users on the server. Legacy configurations with outdated security practices and inadequate input validation are also at increased risk.
• php: Examine access logs for requests to /delmemberinfo.php with unusual or malformed 'userid' parameters. Look for patterns indicative of SQL injection attempts (e.g., single quotes, double quotes, semicolons).
grep -i "(select|union|insert|delete|drop)" /var/log/apache2/access.log | grep /delmemberinfo.php• generic web: Use curl to test the /delmemberinfo.php endpoint with a simple SQL injection payload (e.g., userid=1' OR '1'='1).
curl -X POST -d "userid=1' OR '1'='1" http://your-simple-laundry-system/delmemberinfo.php• generic web: Check response headers for unexpected errors or SQL-related messages that might indicate successful injection.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Simple Laundry System vers la version corrigée dès que possible. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Il est crucial de valider et d'échapper toutes les entrées utilisateur avant de les utiliser dans des requêtes SQL. L'utilisation de requêtes préparées (prepared statements) ou de procédures stockées est fortement recommandée pour prévenir les injections SQL. Un pare-feu applicatif web (WAF) peut également être configuré pour bloquer les requêtes suspectes contenant des motifs d'injection SQL. Surveillez les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettez à jour le module Simple Laundry System à la dernière version disponible pour atténuer la vulnérabilité de (SQL Injection). Examinez et nettoyez l'entrée utilisateur dans le fichier /delmemberinfo.php pour prévenir la manipulation de la requête SQL. Implémentez une validation et un échappement appropriés pour l'entrée utilisateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5565 is a SQL Injection vulnerability in Simple Laundry System versions 1.0.0–1.0, allowing attackers to inject malicious SQL code through the /delmemberinfo.php file, potentially compromising data.
If you are running Simple Laundry System version 1.0.0–1.0 and have not applied a patch, you are potentially affected by this vulnerability.
Upgrade to a patched version of Simple Laundry System as soon as it becomes available. Until then, implement WAF rules and strict input validation.
Due to the public disclosure and availability of an exploit, CVE-2026-5565 is likely being actively targeted by attackers.
Refer to the Simple Laundry System official website or security mailing list for the latest advisory regarding CVE-2026-5565.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.