Plateforme
php
Composant
vehicle-showroom-management-system
Corrigé dans
1.0.1
CVE-2026-6038 identifie une vulnérabilité d'injection SQL dans le système de gestion de salle d'exposition de véhicules version 1.0. Cette faille affecte une fonction inconnue du fichier /util/RegisterCustomerFunction.php et permet à un attaquant d'exécuter des requêtes SQL malveillantes à distance. Un exploit est publiquement disponible.
Une vulnérabilité d'injection SQL a été identifiée dans le Système de Gestion de Concessionnaires de Véhicules code-projects version 1.0. Cette vulnérabilité se trouve dans une fonction inconnue du fichier /util/RegisterCustomerFunction.php. Un attaquant peut manipuler à distance l'argument BRANCH_ID pour injecter du code SQL malveillant, ce qui pourrait entraîner une violation de données, une modification de données ou même une compromission du système. Le score CVSS est de 7,3, ce qui indique un niveau de gravité élevé. La disponibilité publique d'un exploit augmente considérablement le risque d'exploitation.
La vulnérabilité est exploitée en manipulant le paramètre BRANCH_ID dans la fonction /util/RegisterCustomerFunction.php. En raison de la disponibilité publique de l'exploit, les attaquants peuvent injecter directement du code SQL malveillant dans l'application à partir d'un emplacement distant. Cela signifie qu'aucun accès physique au système n'est requis pour l'exploitation. La nature à distance de l'exploitation la rend particulièrement dangereuse, car les attaquants peuvent lancer des attaques de n'importe où dans le monde. L'absence de correctif immédiat nécessite une action rapide pour protéger les données sensibles.
Organizations utilizing the code-projects Vehicle Showroom Management System, particularly those with publicly accessible instances and inadequate input validation measures, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire system.
• php: Examine web server access logs for requests to /util/RegisterCustomerFunction.php containing unusual characters or SQL keywords in the BRANCH_ID parameter.
• generic web: Use curl to test the endpoint with various SQL injection payloads: curl 'http://your-vehicle-showroom-system/util/RegisterCustomerFunction.php?BRANCH_ID=1' UNION SELECT 1,2,3 -- -
• generic web: Check response headers for SQL errors or unexpected behavior when injecting SQL payloads.
• php: Review the source code of /util/RegisterCustomerFunction.php for insecure SQL query construction.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
Actuellement, aucun correctif officiel n'est disponible pour cette vulnérabilité. La mitigation immédiate consiste à désactiver temporairement la fonctionnalité affectée dans /util/RegisterCustomerFunction.php, en particulier la fonction utilisant l'argument BRANCH_ID. Les administrateurs sont fortement invités à mettre à niveau vers une version corrigée dès qu'elle sera disponible. La mise en œuvre d'un pare-feu applicatif web (WAF) et le renforcement des politiques de sécurité de la base de données peuvent aider à réduire le risque dans l'intervalle. La validation et la désinfection rigoureuses de toutes les entrées utilisateur sont essentielles pour prévenir de futures attaques par injection SQL.
Mettez à jour le système Vehicle Showroom Management System vers la dernière version disponible pour atténuer la vulnérabilité d'injection SQL. Examinez et corrigez l'entrée BRANCH_ID dans le fichier /util/RegisterCustomerFunction.php pour prévenir l'exécution de code malveillant. Implémentez la validation et l'échappement des données pour éviter de futures injections SQL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est un type d'attaque qui permet aux attaquants d'insérer du code SQL malveillant dans une application pour accéder ou manipuler la base de données.
Si vous utilisez la version 1.0 du Système de Gestion de Concessionnaires de Véhicules, vous êtes probablement vulnérable. Effectuez des tests d'intrusion pour confirmer.
Isolez le système affecté, modifiez les mots de passe de la base de données et effectuez un audit de sécurité complet.
Plusieurs outils d'analyse de vulnérabilités peuvent détecter les injections SQL, gratuits et commerciaux.
Vous pouvez trouver plus d'informations sur CVE-2026-6038 dans les bases de données de vulnérabilités telles que le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.