Platform
php
Component
phpgurukul-online-shopping-portal-project
Opgelost in
2.1.1
CVE-2026-5641 is een SQL Injection kwetsbaarheid ontdekt in de PHPGurukul Online Shopping Portal Project, specifiek in de parameter handler functie binnen het bestand /admin/update-image1.php. Deze kwetsbaarheid stelt een aanvaller in staat om SQL-code uit te voeren, wat kan leiden tot ongeautoriseerde toegang tot en manipulatie van de database. De kwetsbaarheid treft versie 2.1 van het project en is openbaar gemaakt, waardoor exploitatie mogelijk is.
Een SQL-injectie kwetsbaarheid is geïdentificeerd in het PHPGurukul Online Shopping Portal Project, versie 2.1 (CVE-2026-5641). Deze kwetsbaarheid bevindt zich in een onbekende functie van het bestand /admin/update-image1.php, specifiek met betrekking tot de verwerking van het argument filename. Een externe aanvaller kan deze fout uitbuiten door dit argument te manipuleren om kwaadaardige SQL-query's tegen de database uit te voeren. De ernst van de kwetsbaarheid wordt beoordeeld als 6.3 op de CVSS-schaal, wat een matig risico aangeeft. Het feit dat de exploitatie publiekelijk is, verhoogt het risico aanzienlijk, omdat het kwaadwillende actoren vergemakkelijkt om de kwetsbaarheid te identificeren en te gebruiken. SQL-injectie kan aanvallers in staat stellen gevoelige gegevens te openen, te wijzigen of te verwijderen, waardoor de integriteit en vertrouwelijkheid van het systeem in gevaar komt.
CVE-2026-5641 kan op afstand worden uitgebuit via het bestand /admin/update-image1.php. Een aanvaller kan een kwaadaardige HTTP-verzoek sturen met een gemanipuleerd filename-argument dat SQL-code bevat. Deze SQL-code wordt geïnjecteerd in de databasequery, waardoor de aanvaller in staat is om willekeurige commando's op de database uit te voeren. De publieke bekendmaking van de exploit betekent dat aanvallers toegang hebben tot de tools en technieken die nodig zijn om de kwetsbaarheid relatief gemakkelijk uit te buiten. Dit vergroot het risico op gerichte aanvallen op systemen die de kwetsbare versie van het Online Shopping Portal Project uitvoeren. Een grondige beveiligingsaudit wordt aanbevolen om eventuele andere potentiële kwetsbaarheden te identificeren en te verhelpen.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix uitgebracht door PHPGurukul voor deze kwetsbaarheid. De meest effectieve directe mitigatie is het upgraden naar een veiligere versie van het Online Shopping Portal Project, indien beschikbaar. In de tussentijd wordt het ten zeerste aanbevolen om robuuste invoervalidatie en -sanering te implementeren, met name voor bestandsnamen. Het gebruik van geparametriseerde query's of opgeslagen procedures in plaats van gebruikersinvoer rechtstreeks in SQL-query's te concatenen, kan helpen bij het voorkomen van SQL-injectie. Bovendien is het raadzaam om de toegang tot het bestand /admin/update-image1.php te beperken tot geautoriseerde gebruikers en het systeem te monitoren op verdachte activiteiten. Controleer de projectpagina actief op aankondigingen van patches of updates.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee todas las entradas de usuario, especialmente el parámetro 'filename', para prevenir la inyección SQL. Implemente validación y escape adecuados en las consultas SQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een beveiligingslek dat aanvallers in staat stelt kwaadaardige SQL-code in een databasequery in te voegen, waardoor de integriteit en vertrouwelijkheid van de gegevens in gevaar komt.
Als u versie 2.1 van het Online Shopping Portal Project gebruikt, is de kans groot dat u kwetsbaar bent. Voer penetratietests uit of gebruik tools voor het opsporen van kwetsbaarheden om dit te bevestigen.
Implementeer mitigerende maatregelen zoals invoervalidatie, geparametriseerde query's en toegangsbeperkingen tot het kwetsbare bestand.
Er zijn verschillende tools voor het opsporen van kwetsbaarheden die SQL-injectie kunnen detecteren. Raadpleeg open-source of commerciële webbeveiligingstools.
U kunt meer informatie over deze kwetsbaarheid vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD) en andere beveiligingsbronnen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.