Plateforme
php
Composant
phpgurukul-online-shopping-portal-project
Corrigé dans
2.1.1
Une vulnérabilité d'injection SQL a été découverte dans le projet PHPGurukul Online Shopping Portal Project, version 2.1. Cette faille, située dans le fichier /cancelorder.php, permet à un attaquant de manipuler l'argument 'oid' pour exécuter des requêtes SQL malveillantes. L'impact potentiel est la compromission de la base de données et l'accès non autorisé aux informations sensibles. No official patch available.
Une vulnérabilité d'injection SQL a été identifiée dans le projet Online Shopping Portal Project de PHPGurukul, version 2.1. La vulnérabilité réside dans le fichier /cancelorder.php du composant Parameter Handler. Les attaquants peuvent manipuler l'argument oid pour injecter du code SQL malveillant, compromettant potentiellement l'intégrité et la confidentialité de la base de données. Le score CVSS est de 6.3, indiquant un risque modéré. La disponibilité publique d'un exploit augmente considérablement le risque d'exploitation. Cela pourrait permettre aux attaquants d'accéder à des informations sensibles, de modifier des données ou même de prendre le contrôle du système.
La vulnérabilité réside dans la façon dont l'argument oid dans /cancelorder.php est traité. Un attaquant peut manipuler cet argument pour injecter du code SQL, qui est ensuite exécuté contre la base de données. En raison de la nature à distance de l'exploit et de sa disponibilité publique, le risque d'attaque est important. Les attaquants pourraient utiliser cela pour voler des informations client, modifier l'inventaire ou interrompre les opérations du site Web. L'absence d'une correction immédiate nécessite une action rapide pour atténuer le risque.
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle n'a été publiée par PHPGurukul pour cette vulnérabilité. L'atténuation immédiate et la plus efficace consiste à désactiver temporairement la fonctionnalité d'annulation de commande via le fichier /cancelorder.php. Les administrateurs sont fortement encouragés à mettre à niveau vers une version plus récente du projet Online Shopping Portal Project dès qu'elle sera disponible. La mise en œuvre de pratiques de codage sécurisées, telles que l'utilisation de requêtes paramétrées ou de procédures stockées, peut aider à prévenir de futures vulnérabilités d'injection SQL. Surveiller activement les journaux du serveur à la recherche d'activités suspectes est également crucial.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cancelorder.php. Verifique y sanee las entradas del usuario, especialmente el argumento 'oid', para prevenir la ejecución de código SQL malicioso. Implemente consultas parametrizadas o procedimientos almacenados para mitigar el riesgo de inyección SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un score CVSS de 6.3 indique un niveau de gravité modéré. Cela signifie que la vulnérabilité peut avoir un impact significatif si elle est exploitée, mais n'est pas considérée comme critique.
Si la fonctionnalité est essentielle, mettez en œuvre des mesures de sécurité supplémentaires telles que des pare-feu d'applications Web (WAF) et des systèmes de détection d'intrusion (IDS).
Utilisez des requêtes paramétrées ou des procédures stockées, validez et échappez toutes les entrées utilisateur et maintenez votre logiciel à jour.
Plusieurs outils d'analyse de vulnérabilités peuvent aider à identifier les vulnérabilités d'injection SQL, tels que OWASP ZAP et Burp Suite.
Vous pouvez contacter le développeur de PHPGurukul ou rechercher de l'aide sur des forums de sécurité en ligne.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.