Platform
php
Component
online-enrollment-system
Opgelost in
1.0.1
Een SQL Injection kwetsbaarheid is ontdekt in de itsourcecode Online Enrollment System versie 1.0.0 tot 1.0. Deze kwetsbaarheid bevindt zich in de Parameter Handler en kan misbruikt worden om SQL queries te injecteren, wat mogelijk tot ongeautoriseerde toegang tot de database kan leiden. De kwetsbaarheid is te exploiteren op afstand en er is een publiek beschikbare exploit. Op dit moment is er geen officiële patch beschikbaar.
Een SQL-injectie kwetsbaarheid is ontdekt in itsourcecode Online Enrollment System versie 1.0 (CVE-2026-5534). Deze fout zit in de 'Parameter Handler' component in het bestand /sms/user/index.php?view=edit&id=10, specifiek met betrekking tot de manipulatie van het argument 'USERID'. Een externe aanvaller kan deze kwetsbaarheid misbruiken om kwaadaardige SQL-code in te voegen, waardoor mogelijk de integriteit en vertrouwelijkheid van de database wordt aangetast. De ernst van de kwetsbaarheid wordt beoordeeld op 7.3 volgens CVSS, wat een aanzienlijk risico aangeeft. De publieke beschikbaarheid van een exploit verergert de situatie verder, waardoor het kwaadwillende actoren wordt vergemakkelijkt om deze te gebruiken. Het ontbreken van een fix betekent dat getroffen systemen kwetsbaar blijven totdat een patch wordt geïmplementeerd.
De CVE-2026-5534 kwetsbaarheid wordt misbruikt door de manipulatie van de 'USERID' parameter in de URL /sms/user/index.php?view=edit&id=10. Een aanvaller kan kwaadaardige SQL-code in deze parameter injecteren, die vervolgens in de onderliggende database wordt uitgevoerd. De remote aard van de exploitatie betekent dat een aanvaller geen fysieke toegang tot het systeem nodig heeft om deze kwetsbaarheid te benutten. De publieke beschikbaarheid van een exploit vergemakkelijkt de exploitatie aanzienlijk, waardoor het risico op gerichte aanvallen toeneemt. Het ontbreken van de juiste authenticatie of autorisatie bij het verwerken van de 'USERID' parameter is de hoofdoorzaak van deze kwetsbaarheid.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
Gezien het ontbreken van een officiële fix voor CVE-2026-5534, wordt systeembeheerders die itsourcecode Online Enrollment System 1.0 gebruiken, ten zeerste geadviseerd om onmiddellijk maatregelen te nemen om het risico te beperken. Dit omvat, maar is niet beperkt tot, het isoleren van het getroffen systeem van het netwerk, het implementeren van firewalls om de toegang tot /sms/user/index.php te beperken en actief systeemlogboeken te bewaken op verdachte activiteiten. Overweeg om te upgraden naar een veiligere versie van het systeem, indien beschikbaar, of om aanvullende beveiligingsmaatregelen te implementeren, zoals intrusion detection systems (IDS) en intrusion prevention systems (IPS). Een grondige validatie en desinfectie van alle gebruikersinvoer is cruciaal om toekomstige SQL-injecties te voorkomen.
Actualice el sistema Online Enrollment System a una versión corregida. Verifique y sanee las entradas del usuario en el archivo index.php para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVSS 7.3 duidt op een kwetsbaarheid met een hoge ernstgraad en een aanzienlijk risico op exploitatie.
Momenteel is er geen officiële fix van itsourcecode.
Isoleer het systeem, beperk de toegang tot de kwetsbare URL, bewaak de logboeken en overweeg aanvullende beveiligingsmaatregelen.
Het is een aanvalstechniek waarmee aanvallers kwaadaardige SQL-code via gebruikersinvoer in een database kunnen injecteren.
U kunt meer informatie vinden in kwetsbaarheidsdatabases zoals NIST NVD.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.