Gratis scannen
HIGHCVE-2026-6490CVSS 7.3

QueryMine sms GET Request Parameter deletecourse.php sql injection

Platform

php

Component

querymine-sms

Opgelost in

7.0.1

AI Confidence: highNVDEPSS 0.0%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

In QueryMine sms is een SQL Injection kwetsbaarheid ontdekt, waardoor een aanvaller mogelijk ongeautoriseerde toegang kan krijgen tot de database. De kwetsbaarheid bevindt zich in het bestand admin/deletecourse.php en kan worden misbruikt door manipulatie van de argument ID. Deze kwetsbaarheid is openbaar gemaakt en kan voor aanvallen worden gebruikt. Omdat QueryMine sms een rolling release model hanteert, zijn specifieke versie-informaties voor getroffen of bijgewerkte releases niet beschikbaar.

Impact en Aanvalsscenarios

Een SQL-injectie kwetsbaarheid is geïdentificeerd in QueryMine sms tot versie 7ab5a9ea196209611134525ffc18de25c57d9593. Deze kwetsbaarheid beïnvloedt een onbekende functie binnen het bestand admin/deletecourse.php, specifiek de GET Request Parameter Handler. Een aanvaller kan deze zwakte uitbuiten door het argument ID te manipuleren, waardoor de uitvoering van kwaadaardige SQL-code mogelijk wordt. De exploitatie is remote, wat betekent dat een aanvaller de aanval kan lanceren vanaf elke locatie met netwerktoegang. De publieke beschikbaarheid van de exploit vergroot het risico op aanvallen aanzienlijk. Aangezien QueryMine sms een rolling release model gebruikt, zijn specifieke versie fixes mogelijk niet op traditionele wijze beschikbaar. Het wordt aanbevolen om leveranciersupdates te volgen en fixes toe te passen zodra deze beschikbaar zijn.

Uitbuitingscontext

De SQL-injectie kwetsbaarheid bevindt zich in het bestand admin/deletecourse.php en wordt getriggerd door het manipuleren van de ID parameter in een GET request. Een aanvaller kan kwaadaardige SQL-code in deze parameter injecteren, die vervolgens tegen de database wordt uitgevoerd. De exploitatie is remote, waardoor geen fysieke toegang tot de server vereist is. De publieke beschikbaarheid van de exploit maakt het gemakkelijker voor aanvallers met verschillende technische vaardigheden om deze uit te buiten. Een succesvolle exploitatie kan leiden tot de openbaarmaking van vertrouwelijke informatie, wijziging van gegevens en compromittering van het systeem. Het ontbreken van een specifieke patch oplossing vergroot de urgentie om de nieuwste updates toe te passen en extra beveiligingsmaatregelen te implementeren.

Wie Loopt Risicowordt vertaald…

Organizations utilizing QueryMine sms for SMS management, particularly those handling sensitive customer data or operating in regulated industries, are at significant risk. Shared hosting environments where multiple users share the same QueryMine instance are also particularly vulnerable, as a compromise of one user's account could potentially expose data for all users.

Detectiestappenwordt vertaald…

• linux / server:

journalctl -u querymine -g "SQL injection"

• generic web:

curl -I 'http://your-querymine-instance/admin/deletecourse.php?id='; # Check for SQL errors in response headers

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

EPSS

0.04% (11% percentiel)

CISA SSVC

Exploitatiepoc
Automatiseerbaaryes
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R7.3HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentquerymine-sms
LeverancierQueryMine
Getroffen bereikOpgelost in
7ab5a9ea196209611134525ffc18de25c57d9593 – 7ab5a9ea196209611134525ffc18de25c57d95937.0.1

Zwakheidsclassificatie (CWE)

CWE-89CWE-74

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. EPSS bijgewerkt
Geen patch — 37 dagen na openbaarmaking

Mitigatie en Workarounds

Vanwege het rolling release model van QueryMine sms wordt er geen specifieke patch oplossing verstrekt. De primaire mitigatie is om de nieuwste QueryMine sms updates toe te passen zodra ze beschikbaar zijn. Daarnaast wordt het aanbevolen om extra beveiligingsmaatregelen te implementeren, zoals het valideren en opschonen van alle gebruikersinvoer, het toepassen van het principe van minimale privileges op database accounts en het monitoren van netwerkverkeer op verdachte activiteiten. Netwerksegmentatie kan de impact van een potentiële exploitatie beperken. Het is cruciaal om de beveiligingsconfiguratie van de applicatie en de database te beoordelen om eventuele andere potentiële kwetsbaarheden te identificeren en te herstellen. De implementatie van een Web Application Firewall (WAF) kan helpen bij het blokkeren van bekende aanvallen.

Hoe te verhelpenwordt vertaald…

Actualice a la última versión disponible de QueryMine sms. Debido al modelo de lanzamiento continuo, consulte la documentación oficial o contacte con el proveedor para obtener información sobre las versiones específicas afectadas y las actualizaciones disponibles.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-6490 — SQL Injection in QueryMine sms?

SQL-injectie is een beveiligingskwetsbaarheid die het aanvallers mogelijk maakt om kwaadaardige SQL-code in een database uit te voeren.

Ben ik getroffen door CVE-2026-6490 in QueryMine sms?

Deze kwetsbaarheid kan een aanvaller in staat stellen om toegang te krijgen tot vertrouwelijke informatie, gegevens te wijzigen of de controle over het systeem over te nemen.

Hoe los ik CVE-2026-6490 in QueryMine sms op?

U moet updaten naar de nieuwste beschikbare versie van QueryMine sms zo snel mogelijk. U moet ook extra beveiligingsmaatregelen implementeren, zoals invoervalidatie en netwerkverkeersbewaking.

Wordt CVE-2026-6490 actief misbruikt?

Vanwege het rolling release model van QueryMine sms wordt er geen specifieke patch verstrekt. Het updaten naar de nieuwste versie is de beste mitigatie.

Waar vind ik het officiële QueryMine sms-beveiligingsadvies voor CVE-2026-6490?

U kunt meer informatie over deze kwetsbaarheid vinden in kwetsbaarheidsdatabases, zoals CVE (Common Vulnerabilities and Exposures).

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken