Plateforme
php
Composant
phpgurukul-online-shopping-portal-project
Corrigé dans
2.1.1
La vulnérabilité CVE-2026-5641 est une injection SQL découverte dans le projet PHPGurukul Online Shopping Portal Project, spécifiquement dans le fichier /admin/update-image1.php. Cette faille permet à un attaquant d'exécuter des requêtes SQL malveillantes, compromettant potentiellement l'intégrité des données. Elle affecte la version 2.1 du logiciel, et l'exploitation est possible à distance. No official patch available.
Une vulnérabilité d'injection SQL a été identifiée dans le projet Online Shopping Portal Project de PHPGurukul, version 2.1 (CVE-2026-5641). Cette vulnérabilité réside dans une fonction inconnue du fichier /admin/update-image1.php, concernant spécifiquement la gestion de l'argument filename. Un attaquant distant peut exploiter cette faille en manipulant cet argument pour exécuter des requêtes SQL malveillantes sur la base de données. La sévérité de la vulnérabilité est notée 6.3 sur l'échelle CVSS, indiquant un risque modéré. Le fait que l'exploitation soit publique augmente considérablement le risque, car cela facilite l'identification et l'utilisation de la vulnérabilité par des acteurs malveillants. L'injection SQL peut permettre aux attaquants d'accéder, de modifier ou de supprimer des données sensibles, compromettant l'intégrité et la confidentialité du système.
CVE-2026-5641 peut être exploité à distance via le fichier /admin/update-image1.php. Un attaquant peut envoyer une requête HTTP malveillante avec un argument filename manipulé contenant du code SQL. Ce code SQL sera injecté dans la requête de la base de données, permettant à l'attaquant d'exécuter des commandes arbitraires sur la base de données. La divulgation publique de l'exploitation signifie que les attaquants ont accès aux outils et aux techniques nécessaires pour exploiter la vulnérabilité avec une relative facilité. Cela augmente le risque d'attaques ciblées contre les systèmes exécutant la version vulnérable du projet Online Shopping Portal Project. Un audit de sécurité complet est recommandé pour identifier et corriger toute autre vulnérabilité potentielle.
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
Actuellement, aucun correctif officiel n'a été publié par PHPGurukul pour cette vulnérabilité. La mesure de mitigation immédiate la plus efficace est de mettre à niveau vers une version plus sécurisée du projet Online Shopping Portal Project, si disponible. En attendant, il est fortement recommandé de mettre en œuvre une validation et une désinfection robustes des entrées, en particulier pour les noms de fichiers. L'utilisation de requêtes paramétrées ou de procédures stockées au lieu de concaténer directement les entrées utilisateur dans les requêtes SQL peut aider à prévenir l'injection SQL. De plus, restreindre l'accès au fichier /admin/update-image1.php aux seuls utilisateurs autorisés et surveiller le système à la recherche d'activités suspectes sont des pratiques recommandées. Surveillez activement la page du projet pour tout annonce de correctif ou de mise à jour.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee todas las entradas de usuario, especialmente el parámetro 'filename', para prevenir la inyección SQL. Implemente validación y escape adecuados en las consultas SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une vulnérabilité de sécurité qui permet aux attaquants d'insérer du code SQL malveillant dans une requête de base de données, compromettant l'intégrité et la confidentialité des données.
Si vous utilisez la version 2.1 du projet Online Shopping Portal Project, vous êtes probablement vulnérable. Effectuez des tests d'intrusion ou utilisez des outils de numérisation des vulnérabilités pour confirmer.
Mettez en œuvre des mesures d'atténuation telles que la validation des entrées, les requêtes paramétrées et les restrictions d'accès au fichier vulnérable.
Plusieurs outils de numérisation des vulnérabilités peuvent détecter l'injection SQL. Consultez les outils de sécurité web open source ou commerciaux.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD) et d'autres ressources de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.