Platform
php
Component
phpgurukul-online-shopping-portal-project
Opgelost in
2.1.1
CVE-2026-5552 is een SQL Injection kwetsbaarheid ontdekt in de PHPGurukul Online Shopping Portal Project versie 2.1. Deze kwetsbaarheid maakt ongeautoriseerde toegang tot de database mogelijk door manipulatie van de 'pid' parameter in het bestand /sub-category.php. De kwetsbaarheid treft versie 2.1 en de exploit is publiekelijk beschikbaar, wat het risico op aanvallen vergroot. Er is momenteel geen officiële patch beschikbaar.
Een SQL-injectie kwetsbaarheid is geïdentificeerd in het PHPGurukul Online Shopping Portal Project 2.1, specifiek in het bestand /sub-category.php en de Parameter Handler component. De kwetsbaarheid komt voort uit de onjuiste verwerking van het 'pid' argument, waardoor kwaadaardige SQL-code kan worden geïnjecteerd. Remote exploitatie is mogelijk, wat betekent dat een aanvaller deze zwakte kan benutten vanaf elke locatie met netwerktoegang. De kwetsbaarheid is beoordeeld met CVSS 6.3, wat een matig risico aangeeft. Een succesvolle exploitatie kan een aanvaller in staat stellen gevoelige gegevens in de database te verkrijgen, te wijzigen of te verwijderen, waardoor de integriteit en vertrouwelijkheid van het systeem in gevaar komt. De publieke beschikbaarheid van een exploit vergroot het risico op aanvallen aanzienlijk.
De kwetsbaarheid bevindt zich in het bestand /sub-category.php, specifiek in de verwerking van het 'pid' argument. Een aanvaller kan dit argument manipuleren om kwaadaardige SQL-code in te voegen. Exploitatie is remote, waardoor aanvallers de kwetsbaarheid kunnen benutten vanaf elke locatie met netwerktoegang. De publieke beschikbaarheid van de exploit verlaagt de drempel voor aanvallers met verschillende vaardigheidsniveaus. Mogelijke impact omvat gegevensverlies, gegevenswijziging en denial-of-service. Het ontbreken van een officiële patch benadrukt de urgentie om mitigerende maatregelen te implementeren.
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix beschikbaar van PHPGurukul voor deze kwetsbaarheid. De meest directe mitigatie is om te upgraden naar een nieuwere versie van het Online Shopping Portal Project, indien beschikbaar. In de tussentijd wordt strikte invoervalidatie en -sanering, met name van het 'pid' argument, ten zeerste aanbevolen. Het gebruik van prepared statements of stored procedures kan helpen bij het voorkomen van SQL-injectie. Actieve monitoring van serverlogs op verdachte activiteiten is ook cruciaal. Overweeg het implementeren van een Web Application Firewall (WAF) om kwaadaardig verkeer te filteren.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /sub-category.php. Revise y sanee el código para evitar futuras inyecciones SQL, utilizando consultas preparadas o funciones de escape adecuadas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een techniek waarbij een aanvaller kwaadaardige SQL-code in een databasequery invoegt, waardoor hij mogelijk toegang kan krijgen tot, wijzigen of gegevens verwijderen.
CVSS (Common Vulnerability Scoring System) is een standaard voor het beoordelen van de ernst van beveiligingskwetsbaarheden. Een score van 6.3 duidt op een matig risico.
Implementeer de aanbevolen mitigerende maatregelen, zoals invoervalidatie en logmonitoring. Zoek naar updates van het project en upgrade naar de nieuwste versie zodra dat mogelijk is.
Er zijn verschillende vulnerability scanning tools die je kunnen helpen bij het detecteren van SQL-injectie. Populaire opties zijn OWASP ZAP en SQLMap.
Je kunt meer informatie over SQL-injectie vinden op de website van OWASP (Open Web Application Security Project): https://owasp.org/www-project-top-ten/.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.