Platform
php
Opgelost in
1.0.1
CVE-2026-5034 beschrijft een SQL injection kwetsbaarheid in code-projects Accounting System. Deze kwetsbaarheid maakt het mogelijk om SQL code uit te voeren. De kwetsbaarheid treft versie 1.0. Aanvallers kunnen de parameter cos_id misbruiken om schadelijke SQL code te injecteren. Er is momenteel geen officiële patch beschikbaar.
Een SQL-injectie kwetsbaarheid is ontdekt in Code-Projects Accounting System versie 1.0. Deze fout bevindt zich in het bestand /editcostumer.php, specifiek in de component 'Parameter Handler'. Een aanvaller kan deze kwetsbaarheid uitbuiten door het argument cosid te manipuleren, waardoor ze mogelijk gevoelige gegevens uit de database kunnen openen, wijzigen of verwijderen. De ernst van de kwetsbaarheid wordt beoordeeld als 7.3 op de CVSS-schaal, wat een matig hoog risico aangeeft. Het feit dat de exploit is gepubliceerd, vormt een aanzienlijk risico, omdat dit de exploitatie door kwaadwillende actoren vergemakkelijkt. Het ontbreken van een fix verergert de situatie verder en vereist onmiddellijke aandacht om het risico te beperken.
De SQL-injectie kwetsbaarheid in /editcostumer.php kan op afstand worden uitgebuit. Een aanvaller kan kwaadaardige verzoeken naar het systeem sturen, waarbij de parameter cosid wordt gemanipuleerd om SQL-code in te voegen. De publicatie van de exploit vergemakkelijkt de identificatie van de kwetsbaarheid en de daaropvolgende exploitatie. De component 'Parameter Handler' lijkt het toegangspunt te zijn voor de injectie, wat wijst op onvoldoende validatie van de gebruikersinvoer. Het ontbreken van een goede sanering van invoergegevens stelt aanvallers in staat om willekeurige SQL-commando's uit te voeren, waardoor de integriteit en vertrouwelijkheid van de in de database opgeslagen gegevens in gevaar komt. De remote aard van de exploitatie impliceert dat een aanvaller het systeem kan compromitteren vanaf elke locatie met netwerktoegang.
Organizations utilizing code-projects Accounting System version 1.0, particularly those hosting the application on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's account could potentially lead to the compromise of others.
• php / web:
curl -s -X POST -d "cos_id='; DROP TABLE users;--" http://your-accounting-system/edit_costumer.php | grep "error in your query" • generic web:
curl -I http://your-accounting-system/edit_costumer.php?cos_id='; SELECT version(); --disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix (patch) is voor CVE-2026-5034, vereist onmiddellijke mitigatie aanvullende beveiligingsmaatregelen. Het wordt sterk aanbevolen om het Code-Projects Accounting System versie 1.0 los te koppelen of te isoleren totdat een oplossing kan worden geïmplementeerd. Het implementeren van een Web Application Firewall (WAF) kan helpen om bekende exploitpogingen te blokkeren. Bovendien is het cruciaal om toegangsbeleid tot de database te beoordelen en te versterken, gebruikersrechten te beperken en het principe van minimale privileges toe te passen. Actief monitoren van systeemlogboeken op verdachte activiteiten is essentieel om potentiële aanvallen te detecteren en erop te reageren. Neem contact op met de leverancier van het Accounting System voor een beveiligingsupdate of patch.
Actualizar el sistema Accounting System a una versión parcheada que corrija la vulnerabilidad de inyección SQL en el archivo edit_costumer.php. Si no hay una versión disponible, se recomienda validar y limpiar las entradas del parámetro cos_id para prevenir la ejecución de código SQL malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5034 is a SQL Injection vulnerability affecting code-projects Accounting System version 1.0, allowing attackers to manipulate database queries through the /edit_costumer.php file.
If you are using code-projects Accounting System version 1.0, you are potentially affected. Check the vendor's website for updates or contact their support.
Upgrade to the latest patched version of code-projects Accounting System. Implement input validation and consider using a WAF as temporary mitigations.
A public proof-of-concept exploit is available, indicating a high likelihood of active exploitation.
Refer to the code-projects website or contact their support for the official advisory regarding CVE-2026-5034.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.