Plateforme
php
Composant
faculty-management-system
Corrigé dans
1.0.1
Une vulnérabilité a été détectée dans le système de gestion des professeurs code-projects version 1.0. Un élément inconnu du fichier /subject-print.php est affecté. La manipulation de l'argument ID conduit à une injection SQL. L'attaque peut être lancée à distance. L'exploit est désormais public et peut être utilisé.
Une vulnérabilité d'injection SQL a été détectée dans le système de gestion des professeurs 'code-projects Faculty Management System' version 1.0. La vulnérabilité réside dans une fonction inconnue du fichier /subject-print.php et est déclenchée par la manipulation de l'argument 'ID'. Un attaquant distant peut exploiter cette faiblesse pour injecter du code SQL malveillant dans la base de données, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité des données stockées. Une exploitation réussie pourrait permettre à un attaquant d'accéder, de modifier ou de supprimer des informations sensibles, telles que les données des professeurs, des étudiants, des cours et des notes. La gravité de la vulnérabilité est notée 7.3 sur l'échelle CVSS, indiquant un risque important. Il est crucial de traiter cette vulnérabilité pour protéger les informations sensibles et éviter les incidents de sécurité potentiels.
La vulnérabilité d'injection SQL dans 'code-projects Faculty Management System' version 1.0 peut être exploitée à distance en manipulant l'argument 'ID' dans le fichier /subject-print.php. L'exploit est désormais publiquement disponible, ce qui signifie que les attaquants peuvent accéder aux outils et aux techniques nécessaires pour exploiter la vulnérabilité. Cela augmente considérablement le risque d'attaques ciblées. L'absence d'une correction officielle aggrave encore la situation, car le système reste vulnérable jusqu'à ce que des mesures d'atténuation soient mises en œuvre. Les administrateurs système sont invités à agir rapidement pour protéger leurs systèmes et leurs données.
Educational institutions and organizations utilizing the Faculty Management System, particularly those running versions 1.0.0 through 1.0, are at significant risk. Shared hosting environments where multiple users share the same database are especially vulnerable, as a compromise of one user's account could lead to a wider breach.
• php: Examine web server access logs for requests to /subject-print.php with unusual or malformed ID parameters (e.g., containing single quotes, double quotes, semicolons, or SQL keywords).
• generic web: Use curl to test the /subject-print.php endpoint with various SQL injection payloads (e.g., curl 'http://example.com/subject-print.php?id=1' UNION SELECT 1,2,3 -- -).
• generic web: Check response headers for SQL errors or unusual behavior that might indicate a successful injection.
• php: Review the source code of /subject-print.php for vulnerable SQL queries and lack of input sanitization.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
Actuellement, aucune correction officielle n'a été fournie par les développeurs de 'code-projects Faculty Management System' pour cette vulnérabilité. Cependant, des mesures d'atténuation immédiates sont fortement recommandées pour réduire le risque d'exploitation. Ces mesures comprennent la mise en œuvre d'une validation et d'une désinfection rigoureuses de toutes les entrées utilisateur, en particulier le paramètre 'ID' dans /subject-print.php. L'utilisation d'instructions préparées ou de procédures stockées est une pratique recommandée pour prévenir l'injection SQL. De plus, il est suggéré de restreindre l'accès à /subject-print.php aux utilisateurs autorisés et de surveiller le système à la recherche d'activités suspectes. Étant donné que l'exploit est publiquement disponible, l'application de ces mesures est essentielle pour protéger le système.
Actualice el sistema Faculty Management System a una versión corregida. Verifique y sanee todas las entradas de usuario, especialmente el parámetro ID, antes de utilizarlas en consultas SQL para prevenir inyecciones SQL. Implemente una validación de entrada robusta y utilice consultas preparadas o procedimientos almacenados para mitigar el riesgo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une attaque de sécurité qui permet aux attaquants d'injecter du code SQL malveillant dans une application pour accéder ou manipuler la base de données.
Si vous utilisez 'code-projects Faculty Management System' version 1.0, vous êtes probablement vulnérable. Surveillez les journaux du système à la recherche d'activités suspectes.
Isolez le système affecté du réseau, modifiez tous les mots de passe des utilisateurs et effectuez un audit de sécurité complet.
Recherchez d'autres solutions de gestion des professeurs ayant un historique de sécurité éprouvé et des mises à jour régulières.
Vous pouvez trouver plus d'informations sur l'injection SQL sur des sites Web de sécurité tels que OWASP (Open Web Application Security Project).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.