Plateforme
php
Composant
code-projects-online-application-system-for-admission
Corrigé dans
1.0.1
La vulnérabilité CVE-2026-5649 est une injection SQL découverte dans le système Online Application System for Admission. Cette faille permet à un attaquant d'exécuter des requêtes SQL malveillantes, compromettant potentiellement l'intégrité des données. Elle affecte les versions 1.0.0 à 1.0 du composant Endpoint. Aucune correction officielle n'est disponible pour le moment.
Une vulnérabilité d'injection SQL a été identifiée dans le système de candidature en ligne pour l'admission de code-projects version 1.0, désignée par CVE-2026-5649. Cette faille affecte le traitement des fichiers situés dans /enrollment/admsnform.php du composant Endpoint. Un attaquant distant peut exploiter cette vulnérabilité en manipulant les entrées, ce qui pourrait entraîner un accès non autorisé à la base de données, une modification des données ou même l'exécution de commandes sur le serveur. La gravité de la vulnérabilité est notée 6.3 selon le CVSS. La divulgation publique de l'exploit signale une forte probabilité d'exploitation et représente un risque important pour les organisations utilisant ce système. L'absence de correctif aggrave encore la situation, nécessitant des efforts d'atténuation immédiats.
La vulnérabilité CVE-2026-5649 se situe dans le fichier /enrollment/admsnform.php du composant Endpoint dans le système de candidature en ligne pour l'admission de code-projects version 1.0. Elle représente une vulnérabilité d'injection SQL exploitable à distance. Un attaquant peut injecter du code SQL malveillant via l'entrée utilisateur, ce qui permet un accès non autorisé à la base de données. La divulgation publique de l'exploit indique que les attaquants disposent déjà de la capacité d'exploiter cette faille. L'absence de correctif augmente le risque d'exploitation. Le système est vulnérable aux attaques visant à obtenir des informations confidentielles, à modifier des données ou même à prendre le contrôle du serveur.
Educational institutions and organizations utilizing the Online Application System for Admission for student enrollment are at risk. Specifically, deployments with weak database security configurations or those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple applications share the same database are also at increased risk.
• php / web:
curl -s -X POST -d "admsnform.php?param='; DROP TABLE users;--" http://your-target-host/enrollment/ | grep -i "error"• generic web:
curl -I http://your-target-host/enrollment/admsnform.php?param='; SELECT version(); --disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Compte tenu de l'absence de correctif officiel pour CVE-2026-5649, les organisations utilisant le système de candidature en ligne pour l'admission de code-projects version 1.0 doivent mettre en œuvre des mesures d'atténuation immédiates. Celles-ci incluent, mais ne se limitent pas à, la désactivation temporaire du système, le déploiement d'un Pare-feu d'Application Web (WAF) pour filtrer les requêtes malveillantes et l'examen minutieux du code source pour identifier et corriger la vulnérabilité d'injection SQL. Il est fortement recommandé de contacter le fournisseur du logiciel pour obtenir une mise à jour de sécurité. De plus, une surveillance continue du système à la recherche d'activités suspectes et le renforcement des mesures de sécurité existantes, telles que les politiques de mots de passe et l'authentification à deux facteurs, sont essentiels.
Actualice el módulo a la última versión disponible o aplique parches de seguridad para mitigar la vulnerabilidad de inyección SQL. Revise y sanee las entradas del usuario en el archivo /enrollment/admsnform.php para prevenir la ejecución de consultas SQL maliciosas. Implemente validación y escape de datos para proteger contra futuras inyecciones SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une technique d'attaque qui permet aux attaquants d'insérer du code SQL malveillant dans une application pour accéder ou manipuler la base de données.
Un attaquant pourrait potentiellement accéder, modifier ou supprimer des données sensibles stockées dans la base de données du système.
Désactivez temporairement le système, déployez un WAF, examinez le code et contactez le fournisseur pour obtenir une correction.
Actuellement, il n'y a pas de correction officielle disponible pour cette vulnérabilité.
Mettez en œuvre des pratiques de codage sécurisées, utilisez la validation des entrées et maintenez votre logiciel à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.