code-projects Vehicle Showroom Management System AddVehicleFunction.php sql injection

Code-Projects Vehicle Showroom Management System संस्करण 1.0 में एक SQL इंजेक्शन भेद्यता (CVE-2026-6037) की पहचान की गई है। यह दोष फ़ाइल /util/AddVehicleFunction.php में एक अज्ञात फ़ंक्शन में मौजूद है और BRANCH_ID तर्क के हेरफेर के माध्यम से इसका शोषण किया जाता है। एक दूरस्थ हमलावर इस भेद्यता का उपयोग सिस्टम के डेटाबेस पर दुर्भावनापूर्ण SQL कोड निष्पादित करने के लिए कर सकता है, जिससे डेटा की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। प्रभाव में संवेदनशील ग्राहक जानकारी निकालना, वाहन रिकॉर्ड को संशोधित करना या यहां तक ​​कि पूरे सिस्टम पर नियंत्रण प्राप्त करना शामिल हो सकता है। भेद्यता की गंभीरता को CVSS पैमाने पर 7.3 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। प्रदान किए गए फिक्स की कमी से स्थिति और खराब हो गई है, जिसके लिए तत्काल ध्यान देने की आवश्यकता है।

Organizations using the code-projects Vehicle Showroom Management System, particularly those with publicly accessible instances, are at risk. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's application could potentially lead to the compromise of others. Legacy configurations with weak security practices are especially vulnerable.

• php: Examine the /util/AddVehicleFunction.php file for unsanitized input handling of the BRANCHID parameter. Look for patterns like $GET['BRANCHID'] or $POST['BRANCH_ID'] without proper validation.

if (isset($_GET['BRANCH_ID'])) {
  $branch_id = $_GET['BRANCH_ID']; // Vulnerable line
  $sql = "SELECT * FROM vehicles WHERE branch_id = " . $branch_id;
}

• generic web: Monitor web server access logs for unusual requests targeting /util/AddVehicleFunction.php with potentially malicious input in the BRANCH_ID parameter. Look for SQL keywords like SELECT, UNION, INSERT, DELETE in the request parameters. • generic web: Check response headers for SQL errors or unexpected output that might indicate a successful injection attempt.

1. 2026-04-10Disclosure

   disclosure

1. आरक्षित2026-04-09
2. प्रकाशित2026-04-10
3. संशोधित2026-04-14
4. EPSS अद्यतन2026-04-17

CVE-2026-6037 के लिए कोई आधिकारिक फिक्स उपलब्ध नहीं होने के कारण, जोखिम को कम करने के लिए वैकल्पिक शमन उपायों को लागू करने की सिफारिश की जाती है। इन उपायों में SQL प्रश्नों में उपयोग करने से पहले सभी उपयोगकर्ता इनपुट, विशेष रूप से BRANCH_ID तर्क का कड़ाई से सत्यापन और स्वच्छता शामिल है। पैरामीटराइज्ड क्वेरी या संग्रहीत प्रक्रियाओं को लागू करने से SQL इंजेक्शन को रोकने में मदद मिल सकती है। इसके अतिरिक्त, डेटाबेस एक्सेस को केवल अधिकृत उपयोगकर्ताओं तक सीमित करें और न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें। संभावित हमलों का पता लगाने और उनका जवाब देने के लिए सिस्टम लॉग की सक्रिय रूप से निगरानी करें। जब उपलब्ध हो, तो सिस्टम के अधिक सुरक्षित संस्करण में अपग्रेड करने पर विचार करें।