Plateforme
php
Composant
code-projects-online-application-system-for-admission
Corrigé dans
1.0.1
La vulnérabilité CVE-2026-5650 concerne un problème de stockage insecure au sein du système Online Application System for Admission (OAS). Cette faille permet la manipulation des données, entraînant un stockage non sécurisé d'informations sensibles. Elle affecte les versions 1.0.0 à 1.0 du composant OAS et est exploitable à distance. L'exploit est public et aucune correction officielle n'est disponible pour le moment.
La vulnérabilité CVE-2026-5650 affecte le système de demande en ligne pour l'admission de code-projects version 1.0. Un défaut a été identifié dans une fonction inconnue à l'intérieur du fichier /enrollment/database/oas.sql, permettant une manipulation qui entraîne le stockage non sécurisé d'informations sensibles. Ces informations peuvent inclure des données personnelles des candidats, des détails d'admission ou toute autre donnée stockée dans la base de données. La gravité de la vulnérabilité est notée 5.3 sur l'échelle CVSS, indiquant un risque modéré. La disponibilité publique de l'exploit augmente considérablement le risque, car elle facilite son utilisation par des acteurs malveillants.
La CVE-2026-5650 peut être exploitée à distance, ce qui signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour le compromettre. L'exploit publiquement disponible facilite l'exécution de l'attaque, abaissant la barrière à l'entrée pour les attaquants ayant différents niveaux de compétences techniques. Le fichier /enrollment/database/oas.sql suggère que la vulnérabilité est liée à la manipulation de requêtes SQL, permettant potentiellement à un attaquant d'injecter du code malveillant dans la base de données. L'impact potentiel comprend l'exfiltration de données sensibles, la modification des enregistrements d'admission ou même la prise de contrôle du système.
Organizations using the Online Application System for Admission in production environments, particularly those with sensitive user data or financial information, are at significant risk. Systems with default configurations or inadequate security practices are especially vulnerable. Shared hosting environments where multiple applications share the same database are also at increased risk.
• generic web: Use curl to test the /enrollment/database/oas.sql endpoint with various SQL injection payloads. Look for errors or unexpected behavior indicating successful injection.
curl 'http://example.com/enrollment/database/oas.sql?param=1' 2>&1 | grep -i "error"• php: Examine the application's source code for the /enrollment/database/oas.sql file. Search for instances of direct SQL query construction without proper sanitization or parameterization.
• php: Check PHP error logs for SQL injection attempts or errors related to database queries.
• generic web: Monitor web server access logs for unusual requests targeting the /enrollment/database/oas.sql endpoint, especially those originating from unexpected IP addresses.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle n'a été fournie pour CVE-2026-5650 par code-projects. L'atténuation immédiate la plus efficace est de désactiver ou de restreindre l'accès au système de demande en ligne jusqu'à ce qu'une solution soit mise en œuvre. Les administrateurs système sont fortement conseillés de surveiller de près leurs systèmes à la recherche d'activités suspectes. De plus, une audit de sécurité approfondie du code source est recommandée pour identifier et corriger toute vulnérabilité similaire. Maintenir les logiciels de serveur et les bases de données à jour est une pratique fondamentale pour réduire la surface d'attaque. Envisagez de mettre en œuvre un pare-feu d'applications Web (WAF) pour se protéger contre les attaques courantes.
Actualice el sistema a una versión corregida que solucione la vulnerabilidad de almacenamiento inseguro de información sensible. Consulte la documentación del proveedor o las notas de la versión para obtener instrucciones específicas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant unique pour une vulnérabilité de sécurité spécifique dans le système de demande en ligne pour l'admission.
Désactivez ou restreignez l'accès au système jusqu'à ce qu'une correction soit publiée. Surveillez votre système à la recherche d'activités suspectes.
Actuellement, il n'y a pas de correction officielle. Surveillez les mises à jour du fournisseur.
Données personnelles des candidats, détails d'admission et toutes les autres données stockées dans la base de données.
Maintenez vos logiciels à jour, mettez en œuvre un pare-feu d'applications Web et effectuez des audits de sécurité réguliers.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.