Platform
php
Component
faculty-management-system
Opgelost in
1.0.1
CVE-2026-6167 describes a SQL Injection vulnerability discovered in the Faculty Management System. This flaw allows attackers to inject malicious SQL code, potentially leading to unauthorized data access and modification. The vulnerability affects versions 1.0.0 through 1.0 and is exploitable remotely. A patch is anticipated, and temporary mitigations are available.
Een SQL-injectie kwetsbaarheid is ontdekt in het 'code-projects Faculty Management System' 1.0. De kwetsbaarheid bevindt zich in een onbekende functie van het bestand /subject-print.php en wordt getriggerd door het manipuleren van het argument 'ID'. Een externe aanvaller kan deze zwakte uitbuiten om kwaadaardige SQL-code in de database te injecteren, waardoor mogelijk de vertrouwelijkheid, integriteit en beschikbaarheid van opgeslagen gegevens in gevaar komt. Een succesvolle exploitatie kan een aanvaller in staat stellen gevoelige informatie zoals gegevens van docenten, studenten, cursussen en cijfers te openen, te wijzigen of te verwijderen. De ernst van de kwetsbaarheid wordt beoordeeld als 7.3 op de CVSS-schaal, wat een aanzienlijk risico aangeeft. Het aanpakken van deze kwetsbaarheid is cruciaal om gevoelige informatie te beschermen en potentiële beveiligingsincidenten te voorkomen.
De SQL-injectie kwetsbaarheid in 'code-projects Faculty Management System' 1.0 kan remote worden uitgebuit door het manipuleren van het argument 'ID' in het bestand /subject-print.php. De exploitatie is nu publiekelijk beschikbaar, wat betekent dat aanvallers toegang hebben tot de tools en technieken die nodig zijn om de kwetsbaarheid te exploiteren. Dit vergroot het risico op gerichte aanvallen aanzienlijk. Het ontbreken van een officiële fix verergert de situatie verder, aangezien het systeem kwetsbaar blijft totdat mitigerende maatregelen worden geïmplementeerd. Systeembeheerders worden geadviseerd om onmiddellijk actie te ondernemen om hun systemen en gegevens te beschermen.
Educational institutions and organizations utilizing the Faculty Management System, particularly those running versions 1.0.0 through 1.0, are at significant risk. Shared hosting environments where multiple users share the same database are especially vulnerable, as a compromise of one user's account could lead to a wider breach.
• php: Examine web server access logs for requests to /subject-print.php with unusual or malformed ID parameters (e.g., containing single quotes, double quotes, semicolons, or SQL keywords).
• generic web: Use curl to test the /subject-print.php endpoint with various SQL injection payloads (e.g., curl 'http://example.com/subject-print.php?id=1' UNION SELECT 1,2,3 -- -).
• generic web: Check response headers for SQL errors or unusual behavior that might indicate a successful injection.
• php: Review the source code of /subject-print.php for vulnerable SQL queries and lack of input sanitization.
disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
Momenteel is er geen officiële fix verstrekt door de ontwikkelaars van 'code-projects Faculty Management System' voor deze kwetsbaarheid. Er worden echter onmiddellijk mitigerende maatregelen ten zeerste aanbevolen om het risico op exploitatie te verminderen. Deze maatregelen omvatten de implementatie van strenge validatie en sanitatie van alle gebruikersinvoer, met name de parameter 'ID' in /subject-print.php. Het gebruik van prepared statements of stored procedures is een aanbevolen praktijk om SQL-injectie te voorkomen. Daarnaast wordt aanbevolen de toegang tot /subject-print.php te beperken tot geautoriseerde gebruikers en het systeem te monitoren op verdachte activiteiten. Aangezien de exploitatie publiekelijk beschikbaar is, is het van essentieel belang om deze maatregelen toe te passen om het systeem te beschermen.
Actualice el sistema Faculty Management System a una versión corregida. Verifique y sanee todas las entradas de usuario, especialmente el parámetro ID, antes de utilizarlas en consultas SQL para prevenir inyecciones SQL. Implemente una validación de entrada robusta y utilice consultas preparadas o procedimientos almacenados para mitigar el riesgo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SQL-injectie is een beveiligingsaanval waarmee aanvallers kwaadaardige SQL-code in een applicatie kunnen injecteren om toegang te krijgen tot of de database te manipuleren.
Als u 'code-projects Faculty Management System' versie 1.0 gebruikt, is de kans groot dat u kwetsbaar bent. Controleer de systeemlogboeken op verdachte activiteiten.
Isoleer het getroffen systeem van het netwerk, wijzig alle gebruikerswachtwoorden en voer een uitgebreid beveiligingsaudit uit.
Onderzoek andere oplossingen voor het beheer van docenten met een bewezen staat van dienst op het gebied van beveiliging en regelmatige updates.
U kunt meer informatie over SQL-injectie vinden op beveiligingswebsites zoals OWASP (Open Web Application Security Project).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.