Plateforme
php
Composant
itsourcecode-construction-management-system
Corrigé dans
1.0.1
La vulnérabilité CVE-2026-5660 est une injection SQL détectée dans le système de gestion de construction itsourcecode, affectant les versions 1.0.0 à 1.0. Cette faille exploite une fonction inconnue du fichier /borrowed_equip.php, permettant à un attaquant de manipuler les requêtes SQL via l'argument 'emp'. L'exploitation peut être initiée à distance et a été publiquement divulguée, ce qui augmente le risque d'exploitation. No official patch available.
Une vulnérabilité d'injection SQL a été identifiée dans le système de gestion de la construction itsourcecode version 1.0. La vulnérabilité réside dans une fonction inconnue du fichier /borrowed_equip.php, plus précisément au sein du composant 'Parameter Handler'. Un attaquant peut exploiter cette faille en manipulant l'argument 'emp' pour injecter du code SQL malveillant. La gravité de la vulnérabilité est notée CVSS 6.3, indiquant un risque modéré. L'exploitation à distance est possible, ce qui signifie qu'un attaquant peut exploiter la vulnérabilité depuis n'importe quel endroit disposant d'un accès réseau. La divulgation publique de la vulnérabilité augmente le risque d'exploitation, car les attaquants connaissent désormais la faille et peuvent développer des exploits.
La vulnérabilité d'injection SQL dans /borrowed_equip.php permet à un attaquant distant de manipuler la requête SQL sous-jacente. En injectant du code SQL malveillant via l'argument 'emp', l'attaquant pourrait potentiellement accéder, modifier ou supprimer des données sensibles stockées dans la base de données. Cela pourrait inclure des informations sur les clients, des données financières ou des détails sur les projets de construction. La divulgation publique de la vulnérabilité signifie que les attaquants ont accès à des informations sur la façon de l'exploiter, ce qui augmente la probabilité d'une attaque réussie. L'absence de correctif disponible aggrave encore la situation, laissant les utilisateurs vulnérables à l'exploitation.
Construction companies and businesses utilizing the itsourcecode Construction Management System, particularly those with publicly accessible instances or weak security configurations, are at significant risk. Organizations relying on this system for managing project data and financial information are especially vulnerable to data breaches and operational disruptions.
• php: Examine the /borrowedequip.php file for unsanitized use of the 'emp' parameter in SQL queries. Search for patterns like mysqliquery or PDO::query where user input is directly concatenated into the query string.
// Example of vulnerable code
$emp = $_GET['emp'];
$sql = "SELECT * FROM users WHERE username = '$emp';";
mysqli_query($conn, $sql);• generic web: Monitor access logs for requests to /borrowed_equip.php with unusual or malicious-looking values in the 'emp' parameter (e.g., containing single quotes, semicolons, or SQL keywords). • generic web: Use a WAF to detect and block SQL injection attempts targeting the /borrowed_equip.php endpoint. Configure rules to identify common SQL injection patterns and payloads.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle n'a été fournie par les développeurs d'itsourcecode pour cette vulnérabilité. Les utilisateurs du système de gestion de la construction itsourcecode version 1.0 sont fortement conseillés de prendre des mesures immédiates pour atténuer le risque. Cela comprend, mais sans s'y limiter, la segmentation du réseau pour limiter l'accès au système, la mise en œuvre de pare-feu et de systèmes de détection d'intrusion, et la surveillance active des journaux du système à la recherche d'activités suspectes. Il est également fortement recommandé de contacter le fournisseur pour demander une mise à jour de sécurité dès que possible. Jusqu'à ce qu'un correctif soit publié, l'application doit être considérée comme non sécurisée.
Actualice el sistema de gestión de la construcción itsourcecode a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como medida de seguridad adicional, implemente una validación y saneamiento de entrada robustos para prevenir futuras inyecciones SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une attaque de sécurité qui permet aux attaquants d'interférer avec les requêtes envoyées à une base de données. Ils peuvent l'utiliser pour accéder à des informations sensibles, modifier des données ou même exécuter des commandes sur le serveur.
CVSS (Common Vulnerability Scoring System) est un standard pour évaluer la gravité des vulnérabilités de sécurité. Un score de 6.3 indique un risque modéré.
Vous devez prendre des mesures immédiates pour atténuer le risque, telles que la segmentation du réseau, la mise en œuvre de pare-feu et la surveillance des journaux du système. Vous devez également contacter le fournisseur pour demander une mise à jour de sécurité.
Actuellement, il n'y a pas de correctif officiel disponible. Les mesures d'atténuation décrites ci-dessus sont les meilleures options disponibles jusqu'à ce qu'un correctif soit publié.
Surveillez les journaux du système à la recherche d'activités suspectes, telles que des tentatives de connexion infructueuses, des modifications inattendues des données ou un trafic réseau inhabituel.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.