Platform
php
Component
course-sel
Opgelost in
1.0.1
1.1.1
In halex CourseSEL versies 1.0.0 tot 1.1.0 is een SQL Injection kwetsbaarheid ontdekt. Deze kwetsbaarheid bevindt zich in de functie check_sel en kan misbruikt worden om SQL queries te injecteren, wat mogelijk tot ongeautoriseerde toegang tot de database kan leiden. De aanval kan op afstand worden uitgevoerd. Op dit moment is er geen officiële patch beschikbaar.
Een SQL-injectie kwetsbaarheid is gevonden in halex CourseSEL tot versie 1.1.0. De functie check_sel in het bestand Apps/Index/Controller/IndexController.class.php is kwetsbaar door manipulatie van de seid parameter in HTTP GET verzoeken. Een externe aanvaller kan deze kwetsbaarheid uitbuiten om kwaadaardige SQL-code op de database uit te voeren, wat kan leiden tot de openbaarmaking, wijziging of verwijdering van gevoelige gegevens. De ernst van de kwetsbaarheid is beoordeeld als CVSS 6.3, wat een matig risico aangeeft. Het gebrek aan reactie van de leverancier op de vroege openbaarmaking van deze publieke kwetsbaarheid verergert de situatie, waardoor gebruikers aan aanzienlijk risico worden blootgesteld. Een succesvolle exploitatie kan de integriteit en vertrouwelijkheid van de gegevens die in de CourseSEL database zijn opgeslagen, in gevaar brengen.
De kwetsbaarheid wordt uitgebuit door manipulatie van de seid parameter in HTTP GET verzoeken gericht op de functie check_sel in Apps/Index/Controller/IndexController.class.php. De publieke openbaarmaking van de exploit vergemakkelijkt het gebruik ervan door aanvallers met verschillende technische vaardigheden. De remote aard van de kwetsbaarheid betekent dat deze kan worden uitgebuit vanaf elke locatie met internettoegang. Het gebrek aan reactie van de leverancier duidt op een mogelijk gebrek aan onderhoud en ondersteuning voor de software, wat het risico op voortdurende exploitatie vergroot. De kwetsbaarheid is vooral zorgwekkend voor organisaties die CourseSEL gebruiken om gevoelige student- of cursusinformatie te beheren.
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
Aangezien de leverancier geen oplossing heeft geleverd, omvat de onmiddellijke mitigatie het uitschakelen of upgraden naar een latere versie van halex CourseSEL die deze kwetsbaarheid aanpakt. Als een upgrade niet mogelijk is, wordt het implementeren van aanvullende beveiligingsmaatregelen, zoals webapplicatiefirewalls (WAF's) die SQL-injectiepogingen kunnen detecteren en blokkeren, aanbevolen. Bovendien is het cruciaal om alle gebruikersinvoer, met name GET-parameters, strikt te valideren en te sanitiseren om de injectie van kwaadaardige code te voorkomen. Actief monitoren van serverlogs op verdachte SQL-injectiepatronen kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Overweeg netwerksegmentatie om de potentiële impact van een beveiligingsinbreuk te beperken.
Actualice el módulo CourseSEL a una versión corregida que solucione la vulnerabilidad de inyección SQL en el parámetro seid. Contacte al proveedor para obtener información sobre las versiones corregidas, ya que no han respondido a las notificaciones de seguridad. Como medida preventiva, valide y escapa todas las entradas del usuario para evitar futuras inyecciones SQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een aanvalstechniek waarmee aanvallers kwaadaardige SQL-code in een databasequery kunnen injecteren, wat de beveiliging van de applicatie kan compromitteren.
Een aanvaller zou mogelijk gevoelige gegevens die in de CourseSEL-database zijn opgeslagen, kunnen openbaarmaken, wijzigen of verwijderen.
Het uitschakelen of upgraden naar een gepatchte versie van CourseSEL is de beste optie. Als dat niet mogelijk is, implementeer dan aanvullende beveiligingsmaatregelen zoals een WAF en invoervalidatie.
Het gebrek aan reactie van de leverancier is zorgwekkend en duidt op een mogelijk gebrek aan onderhoud van de software.
U kunt meer informatie over CVE-2026-5537 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.