Plateforme
php
Composant
itsourcecode
Corrigé dans
1.0.1
CVE-2026-5823 describes a SQL Injection vulnerability discovered in the itsourcecode Construction Management System. This flaw allows attackers to potentially manipulate database queries, leading to unauthorized data access or modification. The vulnerability impacts versions 1.0.0 through 1.0 and is accessible remotely. A patch is expected to be released by the vendor.
Une vulnérabilité d'injection SQL (CVE-2026-5823) a été identifiée dans itSourcecode Construction Management System version 1.0, plus précisément dans le fichier /borrowedtoolreport.php. La manipulation de l'argument 'Home' permet à un attaquant d'injecter du code SQL malveillant, compromettant potentiellement l'intégrité et la confidentialité de la base de données. L'exploit est publiquement disponible et peut être exploité à distance, présentant un risque important. Des données sensibles, telles que les informations sur les projets, les détails des emprunts d'outils et les identifiants des utilisateurs, pourraient être exposées ou modifiées. Cette vulnérabilité pourrait permettre à un attaquant d'obtenir un accès non autorisé à des informations critiques, de modifier des données de manière non autorisée ou même de prendre le contrôle du système.
La vulnérabilité CVE-2026-5823 est exploitée par la manipulation de l'argument 'Home' dans le fichier /borrowedtoolreport.php du itSourcecode Construction Management System 1.0. L'exploit est publiquement accessible, ce qui signifie que les attaquants peuvent facilement l'utiliser pour compromettre des systèmes vulnérables. La nature à distance de la vulnérabilité signifie qu'un attaquant peut l'exploiter de n'importe où avec un accès réseau. L'absence de correction officielle augmente le risque d'exploitation, car les attaquants peuvent profiter de la vulnérabilité avant qu'un correctif ne soit mis en œuvre. Les utilisateurs sont invités à prendre des mesures immédiates pour atténuer le risque.
Organizations utilizing the itsourcecode Construction Management System, particularly those with publicly accessible instances or those lacking robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire system.
• php / web:
grep -r "Home = " /var/www/itsourcecode/borrowed_tool_report.php• generic web:
curl -I http://your-server/borrowed_tool_report.php?Home='OR'1'-- -v | grep SQLdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle n'a été fournie par le développeur d'itSourcecode. La mesure d'atténuation immédiate la plus efficace consiste à désactiver ou à restreindre l'accès au fichier /borrowedtoolreport.php jusqu'à ce qu'une mise à jour de sécurité soit publiée. La mise en œuvre d'une validation et d'une désinfection robustes de toutes les entrées utilisateur, en particulier l'argument 'Home', est essentielle pour prévenir de futures injections SQL. Nous recommandons vivement de surveiller activement les systèmes affectés à la recherche de signes d'exploitation et d'appliquer des mesures de sécurité supplémentaires, telles que des pare-feu et des systèmes de détection d'intrusion. Le maintien à jour des logiciels et des systèmes d'exploitation contribue également à réduire la surface d'attaque.
Actualice el sistema de gestión de la construcción itsourcecode a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como medida de seguridad adicional, implemente una validación de entrada robusta para prevenir futuras inyecciones SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une vulnérabilité de sécurité qui permet aux attaquants d'injecter du code SQL malveillant dans une application, leur permettant potentiellement d'accéder à des données sensibles ou même de prendre le contrôle du système.
Si vous utilisez itSourcecode Construction Management System version 1.0, votre système est probablement vulnérable. Effectuez une analyse de vulnérabilité pour confirmer.
Isolez immédiatement le système affecté du réseau et informez le fournisseur de logiciels. Effectuez un audit de sécurité complet pour identifier et corriger tout dommage.
Plusieurs outils de sécurité peuvent vous aider à protéger votre système contre l'injection SQL, tels que des pare-feu et des systèmes de détection d'intrusion.
Il n'y a actuellement pas de date de publication estimée pour une correction officielle. Surveillez le site Web du fournisseur pour obtenir des mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.