Plataforma
php
Componente
vulnerability-practice
Corrigido em
1.0.1
Esta vulnerabilidade reside no servidor PocketMine-MP, especificamente na forma como lida com respostas de formulários JSON. Um atacante pode explorar essa falha enviando payloads JSON de tamanho excessivo, o que pode levar ao consumo excessivo de memória e CPU no servidor, resultando em uma negação de serviço. A vulnerabilidade afeta versões do PocketMine-MP até a 5.9.0, mas foi corrigida na versão 5.39.2.
Uma vulnerabilidade de injeção SQL foi identificada no sistema Free Hotel Reservation System versão 1.0. Esta falha, catalogada como CVE-2026-4876, afeta uma função desconhecida dentro do arquivo /admin/mod_amenities/index.php?view=editpic. Um atacante remoto pode explorar esta vulnerabilidade manipulando o argumento 'ID', permitindo potencialmente acesso não autorizado ao banco de dados, modificação ou exclusão de dados sensíveis e até mesmo a execução de código malicioso no servidor. A disponibilidade pública de um exploit agrava o risco, facilitando o seu uso por agentes maliciosos. A severidade da vulnerabilidade é classificada como 6.3 de acordo com o CVSS, indicando um risco moderado a alto.
A vulnerabilidade é explorada através da manipulação do parâmetro 'ID' na URL /admin/mod_amenities/index.php?view=editpic. Um atacante pode injetar código SQL malicioso neste parâmetro, que é então executado no banco de dados do sistema. A natureza remota da exploração significa que um atacante não precisa de acesso físico ao servidor para comprometer o sistema. A disponibilidade pública do exploit facilita a identificação e o uso da vulnerabilidade por atacantes com diferentes níveis de habilidade técnica. A falta de uma correção oficial aumenta a janela de oportunidade para que os atacantes explorem o sistema.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
Atualmente, não foi fornecida uma correção oficial (fix) pelos desenvolvedores do Free Hotel Reservation System. A mitigação imediata mais eficaz é desativar temporariamente a funcionalidade afetada (/admin/mod_amenities/index.php?view=editpic) ou restringir o acesso a esta página apenas a usuários autorizados e confiáveis. Recomenda-se fortemente monitorar o site do desenvolvedor para obter atualizações de segurança e aplicar a correção assim que estiver disponível. Além disso, a implementação de práticas de segurança robustas, como a validação e sanitização de todas as entradas do usuário, pode ajudar a prevenir futuras vulnerabilidades de injeção SQL. Considere atualizar para uma versão mais segura do sistema, se disponível, como uma medida preventiva.
Actualizar a una versión parcheada del sistema de reservas de hotel. Si no hay una versión parcheada disponible, se recomienda deshabilitar o eliminar el sistema de reservas de hotel hasta que se pueda aplicar una solución. Alternativamente, se puede implementar una validación de entrada robusta en el parámetro ID en el archivo /admin/mod_amenities/index.php?view=editpic para prevenir la inyección SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é uma técnica de ataque que permite aos atacantes inserir código SQL malicioso em um aplicativo para acessar ou manipular o banco de dados.
Desativar a funcionalidade vulnerável, restringir o acesso, validar as entradas do usuário e monitorar as atualizações de segurança são medidas importantes.
Atualmente, não existe uma correção oficial fornecida pelo desenvolvedor.
CVSS 6.3 indica um nível de risco moderado a alto, o que significa que a vulnerabilidade pode ser explorada relativamente facilmente e ter um impacto significativo.
Verifique o site do desenvolvedor do Free Hotel Reservation System e bancos de dados de vulnerabilidades como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.