Platform
php
Component
itsourcecode-construction-management-system
Opgelost in
1.0.1
CVE-2026-5660 beschrijft een SQL Injection kwetsbaarheid in de itsourcecode Construction Management System. Deze kwetsbaarheid stelt een aanvaller in staat om potentieel gevoelige data uit de database te extraheren of te wijzigen door middel van manipulatie van de 'emp' parameter in het bestand /borrowed_equip.php. De kwetsbaarheid treft versies 1.0.0 tot en met 1.0 van de software en is openbaar bekendgemaakt. Er is momenteel geen officiële patch beschikbaar.
Een SQL-injectie kwetsbaarheid is geïdentificeerd in itsourcecode Construction Management System versie 1.0. De kwetsbaarheid bevindt zich in een onbekende functie in het bestand /borrowed_equip.php, specifiek binnen de component 'Parameter Handler'. Een aanvaller kan deze fout uitbuiten door het argument 'emp' te manipuleren om kwaadaardige SQL-code in te voegen. De ernst van de kwetsbaarheid wordt beoordeeld als CVSS 6.3, wat een matig risico aangeeft. Remote exploitatie is mogelijk, wat betekent dat een aanvaller de kwetsbaarheid kan benutten vanaf elke locatie met netwerktoegang. De publieke openbaarmaking van de kwetsbaarheid vergroot het risico op exploitatie, aangezien aanvallers nu kennis hebben van de fout en exploits kunnen ontwikkelen.
De SQL-injectie kwetsbaarheid in /borrowed_equip.php stelt een remote aanvaller in staat om de onderliggende SQL-query te manipuleren. Door kwaadaardige SQL-code in te voegen via het argument 'emp', zou de aanvaller potentieel gevoelige gegevens die in de database zijn opgeslagen, kunnen benaderen, wijzigen of verwijderen. Dit kan klantgegevens, financiële gegevens of details over bouwprojecten omvatten. De publieke openbaarmaking van de kwetsbaarheid betekent dat aanvallers toegang hebben tot informatie over hoe ze deze kunnen uitbuiten, waardoor de kans op een succesvolle aanval toeneemt. Het ontbreken van een beschikbare fix verergert de situatie verder en laat gebruikers kwetsbaar voor exploitatie.
Construction companies and businesses utilizing the itsourcecode Construction Management System, particularly those with publicly accessible instances or weak security configurations, are at significant risk. Organizations relying on this system for managing project data and financial information are especially vulnerable to data breaches and operational disruptions.
• php: Examine the /borrowedequip.php file for unsanitized use of the 'emp' parameter in SQL queries. Search for patterns like mysqliquery or PDO::query where user input is directly concatenated into the query string.
// Example of vulnerable code
$emp = $_GET['emp'];
$sql = "SELECT * FROM users WHERE username = '$emp';";
mysqli_query($conn, $sql);• generic web: Monitor access logs for requests to /borrowed_equip.php with unusual or malicious-looking values in the 'emp' parameter (e.g., containing single quotes, semicolons, or SQL keywords). • generic web: Use a WAF to detect and block SQL injection attempts targeting the /borrowed_equip.php endpoint. Configure rules to identify common SQL injection patterns and payloads.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix beschikbaar gesteld door de itsourcecode ontwikkelaars voor deze kwetsbaarheid. Gebruikers van itsourcecode Construction Management System versie 1.0 worden ten zeerste aangeraden onmiddellijk stappen te ondernemen om het risico te beperken. Dit omvat, maar is niet beperkt tot, netwerksegmentatie om de toegang tot het systeem te beperken, het implementeren van firewalls en intrusion detection systems, en actief het monitoren van systeemlogboeken op verdachte activiteiten. Het wordt ook ten zeerste aanbevolen om contact op te nemen met de leverancier om een beveiligingsupdate zo snel mogelijk aan te vragen. Totdat een patch is uitgebracht, moet de applicatie als onveilig worden beschouwd.
Actualice el sistema de gestión de la construcción itsourcecode a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como medida de seguridad adicional, implemente una validación y saneamiento de entrada robustos para prevenir futuras inyecciones SQL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een beveiligingsaanval waarmee aanvallers kunnen interfereren met de query's die naar een database worden verzonden. Ze kunnen het gebruiken om toegang te krijgen tot gevoelige informatie, gegevens te wijzigen of zelfs commando's op de server uit te voeren.
CVSS (Common Vulnerability Scoring System) is een standaard voor het beoordelen van de ernst van beveiligingskwetsbaarheden. Een score van 6.3 duidt op een matig risico.
U moet onmiddellijk stappen ondernemen om het risico te beperken, zoals netwerksegmentatie, het implementeren van firewalls en het monitoren van systeemlogboeken. U moet ook contact opnemen met de leverancier om een beveiligingsupdate aan te vragen.
Momenteel is er geen officiële fix beschikbaar. De hierboven beschreven mitigatiemaatregelen zijn de beste beschikbare opties totdat een patch is uitgebracht.
Houd systeemlogboeken in de gaten op verdachte activiteiten, zoals mislukte aanmeldpogingen, onverwachte gegevenswijzigingen of ongebruikelijk netwerkverkeer.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.