Plateforme
php
Composant
vehicle-showroom-management-system
Corrigé dans
1.0.1
Une vulnérabilité a été détectée dans le système de gestion de salle d'exposition de véhicules code-projects version 1.0. Ce problème affecte le traitement inconnu du fichier /util/UpdateVehicleFunction.php. La manipulation de l'argument VEHICLE_ID conduit à une injection SQL. L'attaque peut être initiée à distance. L'exploit est désormais public et peut être utilisé.
Une vulnérabilité d'injection SQL a été identifiée dans le système de gestion de salle d'exposition de véhicules code-projects version 1.0 (CVE-2026-6166). Cette vulnérabilité réside dans le fichier /util/UpdateVehicleFunction.php et est exploitée par la manipulation de l'argument VEHICLE_ID. Un attaquant distant peut exploiter cette faille pour exécuter des requêtes SQL malveillantes, accédant potentiellement, modifiant ou supprimant des données sensibles de la base de données. La gravité de la vulnérabilité est notée 7.3 sur l'échelle CVSS, indiquant un risque modéré à élevé. La divulgation publique de l'exploitation augmente considérablement le risque pour les utilisateurs du système, car les attaquants disposent désormais d'informations facilement disponibles sur la façon d'exploiter la vulnérabilité. L'absence d'une correction facilement disponible nécessite une évaluation complète du système et la mise en œuvre de mesures de sécurité alternatives.
CVE-2026-6166 permet à un attaquant distant d'exploiter une validation inadéquate du paramètre VEHICLE_ID dans le fichier /util/UpdateVehicleFunction.php. En injectant du code SQL malveillant dans ce paramètre, l'attaquant peut manipuler les requêtes SQL exécutées par le système. La divulgation publique de l'exploitation signifie que les attaquants connaissent déjà la façon d'exploiter la vulnérabilité, augmentant le risque d'attaques. L'exploitation peut entraîner une perte de confidentialité, d'intégrité et de disponibilité des données stockées dans la base de données du système de gestion de salle d'exposition de véhicules. Les administrateurs système sont invités à prendre des mesures immédiates pour protéger leurs systèmes.
Organizations utilizing the Vehicle Showroom Management System, particularly those with publicly accessible instances and inadequate input validation measures, are at significant risk. Shared hosting environments where multiple users share the same server and database are especially vulnerable, as a compromise of one user's account could potentially expose data for other users.
• php / generic web:
grep -r "UpdateVehicleFunction.php" /var/www/html/• generic web:
curl -I 'http://your-vehicle-showroom-system/util/UpdateVehicleFunction.php?VEHICLE_ID=1' | grep 'SQL injection'• generic web:
curl 'http://your-vehicle-showroom-system/util/UpdateVehicleFunction.php?VEHICLE_ID=1' 2>&1 | grep 'MySQL error'disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucune correction officielle (patch) n'a été fournie pour CVE-2026-6166, des mesures d'atténuation immédiates sont fortement recommandées. Celles-ci incluent la validation et la désinfection rigoureuses de toutes les entrées utilisateur, en particulier le paramètre VEHICLE_ID. L'utilisation de requêtes paramétrées ou de procédures stockées peut aider à prévenir l'injection SQL. De plus, il est conseillé de limiter l'accès à la base de données aux seuls comptes nécessaires et d'appliquer le principe du moindre privilège. La surveillance active des journaux du système à la recherche d'activités suspectes est cruciale. Envisagez d'isoler le système affecté jusqu'à ce qu'une solution adéquate puisse être appliquée. Il est fortement recommandé de contacter le fournisseur du système pour demander une mise à jour de sécurité.
Actualice el sistema Vehicle Showroom Management System a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Revise y sanee la entrada VEHICLE_ID en el archivo /util/UpdateVehicleFunction.php para prevenir la ejecución de código malicioso. Implemente validación y escape adecuados para las entradas del usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-6166 is a SQL Injection vulnerability affecting versions 1.0.0–1.0 of Vehicle Showroom Management System, allowing attackers to inject malicious SQL code and potentially access sensitive data.
If you are using Vehicle Showroom Management System version 1.0.0–1.0 and have not upgraded, you are potentially vulnerable to this SQL Injection attack.
Upgrade to a patched version of Vehicle Showroom Management System. As a temporary workaround, implement strict input validation and consider using parameterized queries or a WAF.
Due to the public disclosure of the exploit, CVE-2026-6166 is likely being actively exploited, making immediate mitigation crucial.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2026-6166.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.