Plateforme
php
Composant
car-rental-project
Corrigé dans
1.0.1
La vulnérabilité CVE-2026-5634 est une injection SQL détectée dans le projet Car Rental Project, plus précisément dans le composant Parameter Handler via le fichier /book_car.php. Cette faille permet à un attaquant de manipuler des requêtes SQL, potentiellement compromettant l'intégrité des données. Elle affecte les versions 1.0.0 à 1.0 du projet et est accessible à distance. Un correctif est disponible.
Une vulnérabilité d'injection SQL a été identifiée dans le projet Car Rental Project 1.0, plus précisément dans le fichier /book_car.php. Cette vulnérabilité affecte le composant de gestion des paramètres et permet à un attaquant de manipuler l'argument 'fname' pour exécuter du code SQL malveillant. Le risque est significatif, avec un score CVSS de 7.3, indiquant une vulnérabilité de haute sévérité. L'exploitation est à distance, ce qui signifie que l'attaquant n'a pas besoin d'un accès physique au système. La disponibilité publique d'un exploit aggrave la situation, augmentant le risque d'attaques. L'injection SQL peut permettre à un attaquant d'accéder, de modifier ou de supprimer des données sensibles de la base de données, compromettant l'intégrité et la confidentialité des informations client et de l'entreprise.
La vulnérabilité réside dans le fichier /book_car.php, au sein du composant de gestion des paramètres. Un attaquant peut exploiter cette vulnérabilité en envoyant une requête malveillante qui manipule l'argument 'fname' avec du code SQL injecté. La nature à distance de la vulnérabilité signifie qu'un attaquant peut lancer l'attaque depuis n'importe quel endroit disposant d'un accès réseau à l'endroit où l'application s'exécute. La disponibilité publique de l'exploit facilite l'exploitation par des attaquants ayant différents niveaux de compétences techniques. L'impact potentiel est l'exposition de données sensibles, la modification de la base de données et la prise de contrôle potentielle du système.
Car rental businesses and organizations utilizing the Car Rental Project software, particularly those hosting their applications on shared hosting environments or without robust input validation measures, are at significant risk. Legacy configurations and deployments that haven't been regularly updated are also vulnerable.
• php / web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; DROP TABLE users;--" | grep "error"• generic web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; SELECT version();--" | grep "MySQL"disclosure
poc
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction (fix) officielle n'a été fournie pour cette vulnérabilité. L'atténuation immédiate nécessite la mise en œuvre de mesures de sécurité supplémentaires pour protéger l'application. Il est fortement recommandé de valider et de désinfecter toutes les entrées utilisateur, en particulier l'argument 'fname', avant de les utiliser dans des requêtes SQL. L'utilisation d'instructions préparées ou de procédures stockées est une pratique sécurisée pour prévenir l'injection SQL. De plus, l'accès à la base de données doit être limité aux seuls utilisateurs et applications qui en ont besoin, et l'activité de la base de données doit être surveillée à la recherche de schémas suspects. Il est conseillé de contacter le développeur du projet pour demander une mise à jour et de suivre de près toute annonce de sécurité.
Actualice el proyecto Car Rental Project a una versión corregida. Verifique las fuentes oficiales del proyecto para obtener instrucciones específicas de actualización y parches de seguridad. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de entradas, para mitigar el riesgo de futuras inyecciones SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une technique d'attaque qui permet à un attaquant d'insérer du code SQL malveillant dans une requête de base de données, ce qui peut compromettre la sécurité de l'application.
CVSS 7.3 est un score de sévérité indiquant que la vulnérabilité est de haute sévérité et pose un risque important pour la sécurité.
Validez et désinfectez toutes les entrées utilisateur, utilisez des instructions préparées, limitez l'accès à la base de données et surveillez l'activité de la base de données.
Actuellement, il n'y a pas de correction officielle. Mettez en œuvre les mesures d'atténuation recommandées jusqu'à ce qu'une mise à jour soit publiée.
Contactez le développeur du projet Car Rental Project pour plus d'informations et de mises à jour de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.