Platform
php
Component
car-rental-project
Opgelost in
1.0.1
CVE-2026-5634 is een SQL Injection kwetsbaarheid ontdekt in het Car Rental Project, versie 1.0.0–1.0. Deze kwetsbaarheid bevindt zich in de functionaliteit van het bestand /book_car.php en stelt aanvallers in staat om SQL-code uit te voeren, mogelijk resulterend in data-inbreuk of systeemcompromittering. De kwetsbaarheid is te exploiteren via de 'fname' parameter en is publiekelijk bekend, wat het risico vergroot. Er is momenteel geen officiële patch beschikbaar.
Een SQL-injectie kwetsbaarheid is geïdentificeerd in Car Rental Project 1.0, specifiek in het bestand /book_car.php. Deze kwetsbaarheid beïnvloedt de Parameter Handler component en stelt een aanvaller in staat om het argument 'fname' te manipuleren om kwaadaardige SQL-code uit te voeren. Het risico is aanzienlijk, met een CVSS-score van 7.3, wat een kwetsbaarheid met een hoog risiconiveau aangeeft. Exploitatie is remote, wat betekent dat de aanvaller geen fysieke toegang tot het systeem nodig heeft. De publieke beschikbaarheid van een exploit verergert de situatie en verhoogt het risico op aanvallen. SQL-injectie kan een aanvaller in staat stellen gevoelige databasegegevens te openen, te wijzigen of te verwijderen, waardoor de integriteit en vertrouwelijkheid van klant- en bedrijfsgegevens in gevaar komt.
De kwetsbaarheid bevindt zich in het bestand /book_car.php, binnen de Parameter Handler component. Een aanvaller kan deze kwetsbaarheid exploiteren door een kwaadaardig verzoek te sturen dat het argument 'fname' manipuleert met geïnjecteerde SQL-code. De remote aard van de kwetsbaarheid betekent dat een aanvaller de aanval kan lanceren vanaf elke locatie met netwerktoegang tot waar de applicatie draait. De publieke beschikbaarheid van de exploit vergemakkelijkt exploitatie door aanvallers met verschillende technische vaardigheden. De potentiële impact is de blootlegging van gevoelige gegevens, de wijziging van de database en de potentiële overname van het systeem.
Car rental businesses and organizations utilizing the Car Rental Project software, particularly those hosting their applications on shared hosting environments or without robust input validation measures, are at significant risk. Legacy configurations and deployments that haven't been regularly updated are also vulnerable.
• php / web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; DROP TABLE users;--" | grep "error"• generic web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; SELECT version();--" | grep "MySQL"disclosure
poc
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix beschikbaar voor deze kwetsbaarheid. Onmiddellijke mitigatie vereist de implementatie van aanvullende beveiligingsmaatregelen om de applicatie te beschermen. Het wordt ten zeerste aanbevolen om alle gebruikersinvoer, met name het argument 'fname', te valideren en te ontsmetten voordat deze in SQL-query's worden gebruikt. Het gebruik van prepared statements of stored procedures is een veilige praktijk om SQL-injectie te voorkomen. Bovendien moet de toegang tot de database worden beperkt tot alleen de noodzakelijke gebruikers en applicaties, en moet de databaseactiviteit worden gecontroleerd op verdachte patronen. Het wordt aanbevolen om de projectontwikkelaar te contacteren voor een update en om alle beveiligingsaankondigingen nauwlettend te volgen.
Actualice el proyecto Car Rental Project a una versión corregida. Verifique las fuentes oficiales del proyecto para obtener instrucciones específicas de actualización y parches de seguridad. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de entradas, para mitigar el riesgo de futuras inyecciones SQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een aanvalstechniek waarmee een aanvaller kwaadaardige SQL-code in een databasequery kan invoegen, waardoor de beveiliging van de applicatie mogelijk wordt gecompromitteerd.
CVSS 7.3 is een score voor de ernst die aangeeft dat de kwetsbaarheid een hoog risico vormt en een aanzienlijk risico op de beveiliging vormt.
Valideer en ontsmet alle gebruikersinvoer, gebruik prepared statements, beperk de toegang tot de database en controleer de databaseactiviteit.
Momenteel is er geen officiële fix. Implementeer de aanbevolen mitigerende maatregelen totdat een update wordt uitgebracht.
Neem contact op met de ontwikkelaar van het Car Rental Project voor meer informatie en beveiligingsupdates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.