Platform
php
Component
code-projects-online-application-system-for-admission
Opgelost in
1.0.1
CVE-2026-5649 is een SQL Injection kwetsbaarheid ontdekt in het Online Application System for Admission. Deze kwetsbaarheid stelt aanvallers in staat om potentieel ongeautoriseerde toegang te krijgen tot de database door middel van manipulatie van de file /enrollment/admsnform.php. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0 van de component. Er is momenteel geen officiële patch beschikbaar.
Een SQL-injectie kwetsbaarheid is geïdentificeerd in het online aanmeldingssysteem voor toelating van code-projects versie 1.0, aangeduid als CVE-2026-5649. Deze fout beïnvloedt de verwerking van bestanden binnen /enrollment/admsnform.php van de Endpoint component. Een externe aanvaller kan deze kwetsbaarheid misbruiken door invoer te manipuleren, wat mogelijk kan leiden tot ongeautoriseerde toegang tot de database, wijziging van gegevens of zelfs uitvoering van commando's op de server. De ernst van de kwetsbaarheid wordt beoordeeld op 6.3 volgens CVSS. De publieke openbaarmaking van de exploit geeft een hoge waarschijnlijkheid van misbruik aan en vormt een aanzienlijk risico voor organisaties die dit systeem gebruiken. Het ontbreken van een fix verergert de situatie verder, waardoor onmiddellijke mitigatie-inspanningen noodzakelijk zijn.
De kwetsbaarheid CVE-2026-5649 bevindt zich in het bestand /enrollment/admsnform.php van de Endpoint component in het online aanmeldingssysteem voor toelating van code-projects versie 1.0. Het vertegenwoordigt een SQL-injectie kwetsbaarheid die op afstand kan worden misbruikt. Een aanvaller kan kwaadaardige SQL-code injecteren via de gebruikersinvoer, waardoor ongeautoriseerde toegang tot de database mogelijk wordt. De publieke openbaarmaking van de exploit geeft aan dat aanvallers al de mogelijkheid hebben om deze fout te misbruiken. Het ontbreken van een patch vergroot het risico op misbruik. Het systeem is kwetsbaar voor aanvallen die erop gericht zijn om vertrouwelijk informatie te verkrijgen, gegevens te wijzigen of zelfs de controle over de server over te nemen.
Educational institutions and organizations utilizing the Online Application System for Admission for student enrollment are at risk. Specifically, deployments with weak database security configurations or those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple applications share the same database are also at increased risk.
• php / web:
curl -s -X POST -d "admsnform.php?param='; DROP TABLE users;--" http://your-target-host/enrollment/ | grep -i "error"• generic web:
curl -I http://your-target-host/enrollment/admsnform.php?param='; SELECT version(); --disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
Gezien het ontbreken van een officiële fix voor CVE-2026-5649, moeten organisaties die het online aanmeldingssysteem voor toelating van code-projects versie 1.0 gebruiken, onmiddellijke mitigatiemaatregelen implementeren. Deze omvatten, maar zijn niet beperkt tot, het tijdelijk uitschakelen van het systeem, het implementeren van een Web Application Firewall (WAF) om kwaadaardige verzoeken te filteren en het grondig beoordelen van de broncode om de SQL-injectie kwetsbaarheid te identificeren en te verhelpen. Het wordt ten zeerste aanbevolen om contact op te nemen met de softwareleverancier voor een beveiligingsupdate. Bovendien zijn continue systeemmonitoring op verdachte activiteiten en het versterken van bestaande beveiligingsmaatregelen, zoals wachtwoordbeleid en multi-factor authenticatie, cruciaal.
Actualice el módulo a la última versión disponible o aplique parches de seguridad para mitigar la vulnerabilidad de inyección SQL. Revise y sanee las entradas del usuario en el archivo /enrollment/admsnform.php para prevenir la ejecución de consultas SQL maliciosas. Implemente validación y escape de datos para proteger contra futuras inyecciones SQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een aanvalstechniek waarmee aanvallers kwaadaardige SQL-code in een applicatie kunnen injecteren om toegang te krijgen tot of de database te manipuleren.
Een aanvaller kan mogelijk gevoelige gegevens die in de database van het systeem zijn opgeslagen, openen, wijzigen of verwijderen.
Schakel het systeem tijdelijk uit, implementeer een WAF, beoordeel de code en neem contact op met de leverancier voor een correctie.
Momenteel is er geen officiële fix beschikbaar voor deze kwetsbaarheid.
Implementeer veilige codeerpraktijken, gebruik invoervalidatie en houd uw software up-to-date.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.