Platform
php
Component
dd6df2db50fd0146b72fc4e0766a4ffd
Opgelost in
1.0.1
CVE-2026-5041 beschrijft een command injection kwetsbaarheid in code-projects Chamber of Commerce Membership Management System. Deze kwetsbaarheid maakt het mogelijk om op afstand code uit te voeren. De kwetsbaarheid treft versie 1.0. Aanvallers kunnen de parameters mailSubject/mailMessage misbruiken om schadelijke code te injecteren. Er is momenteel geen officiële patch beschikbaar.
Een command injection kwetsbaarheid is geïdentificeerd in het code-projects Chamber of Commerce Membership Management System versie 1.0 (CVE-2026-5041). De functie fwrite in het bestand admin/pageMail.php is kwetsbaar voor manipulatie van de argumenten mailSubject en mailMessage, waardoor een aanvaller willekeurige commando's op de server kan uitvoeren. Deze kwetsbaarheid is vooral zorgwekkend omdat deze op afstand kan worden misbruikt, wat betekent dat een aanvaller geen fysieke toegang tot het systeem nodig heeft om het te compromitteren. De publieke beschikbaarheid van een exploit verergert het risico verder, omdat het het misbruik door kwaadwillende actoren met verschillende technische vaardigheden vergemakkelijkt. Het ontbreken van een fix betekent dat gebruikers van dit systeem momenteel aan dit risico worden blootgesteld.
De kwetsbaarheid bevindt zich in de functie fwrite van het bestand admin/pageMail.php. Een aanvaller kan kwaadaardige commando's injecteren via de velden mailSubject of mailMessage. Deze velden maken, wanneer ze worden verwerkt door de functie fwrite, de uitvoering van besturingssysteemcommando's mogelijk. Misbruik vindt op afstand plaats, wat betekent dat de aanvaller kwaadaardige gegevens via een HTTP-verzoek kan verzenden vanaf elke locatie met internettoegang. De publieke beschikbaarheid van de exploit vereenvoudigt het misbruik, zelfs voor gebruikers met beperkte technische expertise. Het ontbreken van invoervalidatie of -sanering is de belangrijkste oorzaak van deze kwetsbaarheid.
Organizations utilizing the Chamber of Commerce Membership Management System version 1.0, particularly those hosting the application on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as a compromise of one user's instance could potentially impact others.
• php / server:
grep -r 'fwrite($_SERVER["mailSubject"]' /var/www/html/admin/pageMail.php• generic web:
curl -I http://your-chamber-system/admin/pageMail.php?mailSubject=;id;• generic web:
curl -I http://your-chamber-system/admin/pageMail.php?mailMessage=;id;disclosure
Exploit Status
EPSS
0.33% (56% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix is voor CVE-2026-5041, wordt gebruikers van het code-projects Chamber of Commerce Membership Management System versie 1.0 ten zeerste geadviseerd om het systeem onmiddellijk te stoppen met gebruiken. Als continu gebruik absoluut noodzakelijk is, moeten tijdelijke mitigerende maatregelen worden geïmplementeerd, zoals het beperken van de toegang tot de functie admin/pageMail.php tot geautoriseerde gebruikers en het nauwlettend monitoren van systeemlogboeken op verdachte activiteiten. Bovendien wordt gebruikers ten zeerste aangeraden om een alternatief voor het systeem te zoeken of contact op te nemen met de ontwikkelaar om een beveiligingsupdate aan te vragen. Een upgrade naar een nieuwere versie, indien beschikbaar, is de meest effectieve langetermijnoplossing.
Actualizar el sistema Chamber of Commerce Membership Management System a una versión parcheada que solucione la vulnerabilidad de inyección de comandos en el archivo pageMail.php. Si no hay una actualización disponible, se recomienda deshabilitar o eliminar el sistema hasta que se pueda aplicar una solución.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificatie voor deze specifieke kwetsbaarheid, waardoor het gemakkelijker is om deze te volgen en te verwijzen.
Het is een aanvalstechniek waarmee een aanvaller willekeurige commando's op een computersysteem kan uitvoeren.
Stop onmiddellijk met het gebruik van het systeem en zoek een alternatief of neem contact op met de ontwikkelaar voor een update.
Beperk de toegang tot de functie admin/pageMail.php en monitor systeemlogboeken op verdachte activiteiten.
Momenteel is er geen officiële fix beschikbaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.