Platform
php
Component
itsourcecode-online-cellphone-system
Opgelost in
1.0.1
CVE-2026-5553 beschrijft een SQL Injection kwetsbaarheid in de itsourcecode Online Cellphone System, specifiek in de Parameter Handler functionaliteit via het bestand /cp/available.php. Deze kwetsbaarheid stelt een aanvaller in staat om potentieel ongeautoriseerde toegang te verkrijgen tot de database door de 'Name' parameter te manipuleren. De kwetsbaarheid treft versies 1.0.0–1.0 en is momenteel niet volledig verholpen.
Een SQL-injectie kwetsbaarheid is geïdentificeerd in itsourcecode Online Cellphone System versie 1.0, specifiek in het bestand /cp/available.php, dat de component 'Parameter Handler' beïnvloedt. Deze kwetsbaarheid stelt een externe aanvaller in staat om het argument 'Name' te manipuleren om kwaadaardige SQL-code op de database van het systeem uit te voeren. De potentiële impact is ernstig, inclusief de mogelijke extractie van vertrouwelijke informatie, wijziging van gegevens of zelfs de overname van het systeem. De publieke beschikbaarheid van de exploit vergroot het risico op uitbuiting aanzienlijk. De CVSS-score van 6.3 duidt op een matig tot hoog risico, wat onmiddellijke aandacht vereist.
De kwetsbaarheid bevindt zich in het bestand /cp/available.php binnen de component 'Parameter Handler' van het itsourcecode Online Cellphone System 1.0. Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige HTTP-verzoeken te verzenden die het argument 'Name' manipuleren om SQL-code in te voegen. De externe aard van de exploitatie betekent dat een aanvaller geen fysieke toegang tot het systeem nodig heeft om het te compromitteren. De publieke beschikbaarheid van de exploit vergemakkelijkt de uitbuiting door aanvallers met verschillende technische vaardigheden. Het ontbreken van een officiële fix verergert de situatie, aangezien het systeem kwetsbaar blijft voor aanvallen.
Organizations using itsourcecode Online Cellphone System, particularly those with publicly accessible instances and those that haven't implemented robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same database are also particularly vulnerable, as a compromise of one user's account could potentially lead to a compromise of the entire database.
• php: Examine web server access logs for requests to /cp/available.php with unusual or malformed Name parameters. Look for patterns indicative of SQL injection attempts (e.g., ';--, UNION SELECT).
grep -i 'available.php.*Name.*(;|--)' /var/log/apache2/access.log• php: Review the source code of /cp/available.php for instances where the Name parameter is directly incorporated into SQL queries without proper sanitization or parameterization.
• generic web: Use a web vulnerability scanner (e.g., OWASP ZAP, Burp Suite) to automatically scan the application for SQL Injection vulnerabilities, focusing on the /cp/available.php endpoint.
disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
Er is momenteel geen officiële oplossing (fix) beschikbaar van itsourcecode voor deze kwetsbaarheid. De onmiddellijke mitigatie is om het itsourcecode Online Cellphone System 1.0 van het netwerk te isoleren om externe aanvallen te voorkomen. We raden ten zeerste aan om rechtstreeks contact op te nemen met itsourcecode om een beveiligingsupdate aan te vragen. Ondertussen kunnen aanvullende beveiligingsmaatregelen worden geïmplementeerd, zoals firewalls, intrusion detection systems (IDS) en een grondige beoordeling van de broncode om de SQL-injectie kwetsbaarheid te identificeren en te corrigeren. Het toepassen van het principe van minimale privileges voor databaseaccounts kan ook helpen om potentiële schade te beperken.
Actualice el sistema a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cp/available.php. Revise y sanee la entrada 'Name' para prevenir la ejecución de código SQL malicioso. Implemente validación y escape de datos en todas las entradas del usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een type aanval waarmee een aanvaller kwaadaardige SQL-code in een databasequery kan invoegen, wat kan leiden tot ongeautoriseerde toegang tot gegevens, wijziging van gegevens of de uitvoering van willekeurige commando's.
CVSS (Common Vulnerability Scoring System) is een standaard voor het beoordelen van de ernst van beveiligingskwetsbaarheden. Een score van 6.3 duidt op een matig tot hoog risico.
Isoleer het systeem van het netwerk, neem contact op met itsourcecode om een beveiligingsupdate aan te vragen en overweeg aanvullende beveiligingsmaatregelen te implementeren.
Er zijn vulnerability scanners die SQL-injectie kunnen detecteren. Een handmatige beoordeling van de broncode is ook mogelijk.
Gebruik geparametriseerde queries of stored procedures, valideer en escape gebruikersinvoer en pas het principe van minimale privileges toe op databaseaccounts.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.