Plateforme
php
Composant
phpgurukul-online-shopping-portal-project
Corrigé dans
2.1.1
CVE-2026-5635 represents a SQL Injection vulnerability identified within the PHPGurukul Online Shopping Portal Project, specifically impacting version 2.1. This flaw allows attackers to inject malicious SQL code through the manipulation of the 'cid' parameter within the /categorywise-products.php file, potentially enabling unauthorized data access or modification. The vulnerability is remotely exploitable and an exploit is publicly available, increasing the risk of active attacks.
Une vulnérabilité d'injection SQL a été découverte dans le projet Online Shopping Portal Project de PHPGurukul, version 2.1. La vulnérabilité réside dans le fichier /categorywise-products.php, plus précisément dans le composant Parameter Handler, en raison d'une gestion incorrecte de l'argument cid. Cela permet à un attaquant distant d'exécuter des requêtes SQL arbitraires, pouvant entraîner des violations de données, des modifications ou des suppressions. Des informations sensibles, telles que les données des utilisateurs, les détails des produits et l'historique des commandes, pourraient être compromises. La vulnérabilité est notée 6.3 sur l'échelle CVSS. Une exploitation réussie pourrait compromettre gravement l'intégrité et la confidentialité du système, nuisant à la confiance des clients et à la réputation de l'entreprise.
La vulnérabilité a été rendue publique, ce qui signifie que les attaquants connaissent déjà la façon de l'exploiter. Cela augmente considérablement le risque d'attaques ciblées contre les systèmes exécutant la version vulnérable du projet Online Shopping Portal. La nature distante de la vulnérabilité signifie que les attaquants peuvent l'exploiter de n'importe où disposant d'un accès à Internet. Une action immédiate est fortement conseillée pour atténuer le risque, car une exploitation active est probable. L'absence d'un correctif officiel aggrave la situation, rendant la mitigation manuelle encore plus critique.
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Actuellement, aucun correctif officiel n'a été publié par PHPGurukul pour cette vulnérabilité. La mitigation immédiate et la plus efficace consiste à désactiver temporairement la fonctionnalité affectée dans /categorywise-products.php jusqu'à ce qu'une mise à jour soit disponible. Une audit complète du code est fortement recommandée pour identifier et traiter toute autre vulnérabilité potentielle d'injection SQL. La validation et la désinfection robustes de toutes les entrées utilisateur, en particulier celles utilisées dans les requêtes SQL, sont essentielles. Envisagez d'utiliser des requêtes préparées ou des procédures stockées pour éviter l'injection SQL. Surveillez activement les journaux du serveur à la recherche d'activités suspectes.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee todas las entradas del usuario, especialmente el parámetro 'cid', para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une vulnérabilité de sécurité qui permet aux attaquants d'insérer du code SQL malveillant dans des requêtes SQL, leur donnant potentiellement un accès non autorisé aux données ou modifiant la base de données.
Effectuez un audit de sécurité de votre site web, en prêtant une attention particulière au fichier /categorywise-products.php et à la façon dont les paramètres d'entrée sont traités. Utilisez des outils de numérisation des vulnérabilités pour identifier les problèmes potentiels.
Isolez immédiatement le système affecté du réseau. Effectuez une enquête médico-légale pour déterminer l'étendue du compromis. Restaurez les données à partir d'une sauvegarde propre. Mettez en œuvre des mesures de sécurité supplémentaires pour prévenir les attaques futures.
Plusieurs outils de numérisation des vulnérabilités et d'analyse de code statique peuvent aider à identifier et à corriger les vulnérabilités d'injection SQL. Vous pouvez également envisager d'utiliser un pare-feu d'applications web (WAF).
Vous pouvez trouver plus d'informations sur CVE-2026-5635 dans les bases de données de vulnérabilités de sécurité, telles que le National Vulnerability Database (NVD) de la NIST.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.