Platform
php
Component
vulnerability-practice
Opgelost in
1.0.1
Deze kwetsbaarheid in PocketMine-MP betreft een denial-of-service situatie veroorzaakt door het ontbreken van een adequate limiet op de grootte van JSON payloads in ModalFormResponsePacket. Een aanvaller kan dit misbruiken om de geheugen- en CPU-bronnen van een server te belasten door grote arrays te verzenden. De kwetsbaarheid treft PocketMine-MP versies tot en met 5.9.0. Een fix is geïmplementeerd in versie 5.39.2.
Een SQL-injectie kwetsbaarheid is geïdentificeerd in het Free Hotel Reservation System versie 1.0. Deze fout, gecatalogiseerd als CVE-2026-4876, beïnvloedt een onbekende functie binnen het bestand /admin/mod_amenities/index.php?view=editpic. Een externe aanvaller kan deze kwetsbaarheid misbruiken door het argument 'ID' te manipuleren, wat mogelijk ongeautoriseerde toegang tot de database, wijziging of verwijdering van gevoelige gegevens en zelfs de uitvoering van kwaadaardige code op de server kan veroorzaken. De publieke beschikbaarheid van een exploit verergert het risico, omdat het het gebruik ervan door kwaadwillende actoren vergemakkelijkt. De ernst van de kwetsbaarheid wordt beoordeeld op 6.3 volgens CVSS, wat een matig tot hoog risico aangeeft.
De kwetsbaarheid wordt misbruikt door manipulatie van de parameter 'ID' in de URL /admin/mod_amenities/index.php?view=editpic. Een aanvaller kan kwaadaardige SQL-code in deze parameter injecteren, die vervolgens op de database van het systeem wordt uitgevoerd. De externe aard van de exploitatie betekent dat een aanvaller geen fysieke toegang tot de server nodig heeft om het systeem te compromitteren. De publieke beschikbaarheid van de exploit vergemakkelijkt de identificatie en het gebruik van de kwetsbaarheid door aanvallers met verschillende technische vaardigheden. Het ontbreken van een officiële fix vergroot de kans dat aanvallers het systeem misbruiken.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix (fix) verstrekt door de ontwikkelaars van het Free Hotel Reservation System. De meest effectieve directe mitigatie is om de getroffen functionaliteit (/admin/mod_amenities/index.php?view=editpic) tijdelijk uit te schakelen of de toegang tot deze pagina te beperken tot geautoriseerde en vertrouwde gebruikers. Het wordt ten zeerste aanbevolen om de website van de ontwikkelaar te volgen op beveiligingsupdates en de fix toe te passen zodra deze beschikbaar is. Bovendien kan de implementatie van robuuste beveiligingsmaatregelen, zoals het valideren en opschonen van alle gebruikersinvoer, helpen om toekomstige SQL-injectie kwetsbaarheden te voorkomen. Overweeg om te upgraden naar een veiligere versie van het systeem, indien beschikbaar, als een preventieve maatregel.
Actualizar a una versión parcheada del sistema de reservas de hotel. Si no hay una versión parcheada disponible, se recomienda deshabilitar o eliminar el sistema de reservas de hotel hasta que se pueda aplicar una solución. Alternativamente, se puede implementar una validación de entrada robusta en el parámetro ID en el archivo /admin/mod_amenities/index.php?view=editpic para prevenir la inyección SQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een aanvalstechniek waarmee aanvallers kwaadaardige SQL-code in een applicatie kunnen injecteren om toegang te krijgen tot of de database te manipuleren.
Het uitschakelen van de kwetsbare functionaliteit, het beperken van de toegang, het valideren van gebruikersinvoer en het volgen van beveiligingsupdates zijn belangrijke maatregelen.
Momenteel is er geen officiële fix verstrekt door de ontwikkelaar.
CVSS 6.3 geeft een matig tot hoog risiconiveau aan, wat betekent dat de kwetsbaarheid relatief gemakkelijk kan worden misbruikt en aanzienlijke gevolgen kan hebben.
Controleer de website van de ontwikkelaar van het Free Hotel Reservation System en kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.