प्लेटफ़ॉर्म
php
घटक
vehicle-showroom-management-system
में ठीक किया गया
1.0.1
A SQL Injection vulnerability has been identified in code-projects Vehicle Showroom Management System versions 1.0.0 through 1.0. This flaw resides in the processing of the /util/UpdateVehicleFunction.php file, specifically through manipulation of the VEHICLE_ID argument. Successful exploitation could allow an attacker to gain unauthorized access to sensitive data and potentially compromise the system.
code-projects Vehicle Showroom Management System 1.0 (CVE-2026-6166) में एक SQL इंजेक्शन भेद्यता (vulnerability) की पहचान की गई है। यह भेद्यता फ़ाइल /util/UpdateVehicleFunction.php में मौजूद है और VEHICLE_ID तर्क (argument) के हेरफेर के माध्यम से इसका फायदा उठाया जा सकता है। एक दूरस्थ हमलावर इस खामी का उपयोग दुर्भावनापूर्ण SQL प्रश्नों को निष्पादित करने के लिए कर सकता है, जिससे संभावित रूप से डेटाबेस में संवेदनशील डेटा तक पहुंच, संशोधन या हटाना हो सकता है। भेद्यता की गंभीरता को CVSS पैमाने पर 7.3 के रूप में रेट किया गया है, जो मध्यम से उच्च जोखिम दर्शाता है। शोषण का सार्वजनिक प्रकटीकरण सिस्टम उपयोगकर्ताओं के लिए जोखिम को काफी बढ़ाता है, क्योंकि हमलावरों के पास अब इस भेद्यता का फायदा उठाने के तरीके के बारे में आसानी से उपलब्ध जानकारी है। तत्काल समाधान की अनुपस्थिति में, सिस्टम का गहन मूल्यांकन और वैकल्पिक सुरक्षा उपायों को लागू करना आवश्यक है।
CVE-2026-6166 एक दूरस्थ हमलावर को /util/UpdateVehicleFunction.php फ़ाइल में VEHICLE_ID पैरामीटर के अपर्याप्त सत्यापन का फायदा उठाने की अनुमति देता है। इस पैरामीटर में दुर्भावनापूर्ण SQL कोड इंजेक्ट करके, हमलावर सिस्टम द्वारा निष्पादित SQL प्रश्नों में हेरफेर कर सकता है। शोषण का सार्वजनिक प्रकटीकरण इस तथ्य को दर्शाता है कि हमलावरों को पहले से ही इस भेद्यता का फायदा उठाने का तरीका पता है, जिससे हमलों का खतरा बढ़ जाता है। शोषण से Vehicle Showroom Management System के डेटाबेस में संग्रहीत डेटा की गोपनीयता, अखंडता और उपलब्धता का नुकसान हो सकता है। सिस्टम प्रशासकों को अपने सिस्टम की सुरक्षा के लिए तत्काल कदम उठाने के लिए प्रोत्साहित किया जाता है।
Organizations utilizing the Vehicle Showroom Management System, particularly those with publicly accessible instances and inadequate input validation measures, are at significant risk. Shared hosting environments where multiple users share the same server and database are especially vulnerable, as a compromise of one user's account could potentially expose data for other users.
• php / generic web:
grep -r "UpdateVehicleFunction.php" /var/www/html/• generic web:
curl -I 'http://your-vehicle-showroom-system/util/UpdateVehicleFunction.php?VEHICLE_ID=1' | grep 'SQL injection'• generic web:
curl 'http://your-vehicle-showroom-system/util/UpdateVehicleFunction.php?VEHICLE_ID=1' 2>&1 | grep 'MySQL error'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-6166 के लिए कोई आधिकारिक फिक्स (patch) प्रदान नहीं किए जाने के कारण, तत्काल शमन (mitigation) कदम उठाने की पुरजोर सिफारिश की जाती है। इसमें विशेष रूप से VEHICLE_ID पैरामीटर के सभी उपयोगकर्ता इनपुट को सख्ती से मान्य और सैनिटाइज करना शामिल है। पैरामीटराइज्ड प्रश्नों या संग्रहीत प्रक्रियाओं का उपयोग SQL इंजेक्शन को रोकने में मदद कर सकता है। इसके अतिरिक्त, डेटाबेस एक्सेस को केवल आवश्यक खातों तक सीमित करने और न्यूनतम विशेषाधिकार के सिद्धांत को लागू करने की सिफारिश की जाती है। सिस्टम लॉग की सक्रिय रूप से निगरानी करना संदिग्ध गतिविधि का पता लगाने के लिए महत्वपूर्ण है। जब तक उचित समाधान लागू किया जा सकता है, तब तक प्रभावित सिस्टम को अलग करने पर विचार करें। सुरक्षा अपडेट का अनुरोध करने के लिए सिस्टम विक्रेता से संपर्क करने की पुरजोर सिफारिश की जाती है।
Vehicle Showroom Management System को नवीनतम उपलब्ध संस्करण में अपडेट करें ताकि SQL इंजेक्शन भेद्यता (vulnerability) को कम किया जा सके। दुर्भावनापूर्ण (malicious) कोड के निष्पादन को रोकने के लिए /util/UpdateVehicleFunction.php फ़ाइल में VEHICLE_ID इनपुट की समीक्षा और स्वच्छता (sanitize) करें। उपयोगकर्ता इनपुट के लिए उचित सत्यापन (validation) और एस्केप लागू करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SQL इंजेक्शन एक प्रकार का हमला है जिसमें एक हमलावर अनधिकृत पहुंच प्राप्त करने या डेटा में हेरफेर करने के लिए SQL क्वेरी में दुर्भावनापूर्ण SQL कोड इंजेक्ट करता है।
CVE-2026-6166 Vehicle Showroom Management System में इस विशिष्ट भेद्यता के लिए एक अनूठा पहचानकर्ता है।
सार्वजनिक प्रकटीकरण का मतलब है कि हमलावरों को पहले से ही इस भेद्यता का फायदा उठाने का तरीका पता है, जिससे हमलों का खतरा बढ़ जाता है।
आपको आधिकारिक फिक्स प्रदान किए जाने तक, इनपुट सत्यापन और लॉग निगरानी जैसे तत्काल शमन कदम उठाने चाहिए।
अधिक जानकारी के लिए आपको Vehicle Showroom Management System के विक्रेता से संपर्क करना चाहिए।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।