Plataforma
php
Corrigido em
1.0.1
CVE-2026-5033 descreve uma vulnerabilidade de SQL Injection no Accounting System versão 1.0. A falha reside no arquivo /viewcostumer.php, especificamente no tratamento do parâmetro cosid, permitindo a execução de comandos SQL arbitrários. Um atacante remoto pode explorar essa vulnerabilidade para acessar ou modificar dados no banco de dados. A versão afetada é a 1.0. Não há correção oficial disponível no momento.
Uma vulnerabilidade de injeção SQL foi detectada no sistema de contabilidade Code-Projects versão 1.0. Esta vulnerabilidade afeta uma funcionalidade desconhecida dentro do arquivo /viewcostumer.php, especificamente o componente 'Parameter Handler'. Um atacante pode manipular o argumento 'cosid' para injetar código SQL malicioso. A exploração é remota, o que significa que um atacante pode explorar a vulnerabilidade de qualquer local com acesso à rede. A severidade da vulnerabilidade é classificada como 7.3 na escala CVSS, indicando um risco significativo. O mais preocupante é que a exploração agora é pública, tornando-a facilmente acessível para que agentes maliciosos a utilizem. Isso pode resultar na exposição de dados confidenciais de clientes, modificação de registros contábeis ou até mesmo controle total do sistema de contabilidade.
A vulnerabilidade de injeção SQL em /viewcostumer.php permite que um atacante remoto execute código SQL arbitrário no banco de dados do sistema de contabilidade. O argumento 'cosid' é o ponto de entrada vulnerável. Ao injetar código SQL malicioso neste argumento, o atacante pode contornar as medidas de segurança e acessar, modificar ou até mesmo excluir dados confidenciais. O fato de a exploração ser pública significa que os atacantes já possuem as ferramentas e o conhecimento necessários para explorar esta vulnerabilidade. Isso aumenta significativamente o risco de ataques direcionados a sistemas que utilizam Code-Projects Accounting System 1.0. A exploração bem-sucedida pode ter consequências devastadoras para a integridade e a confidencialidade dos dados financeiros.
Small and medium-sized businesses (SMBs) relying on code-projects Accounting System version 1.0 for their financial management are particularly at risk. Organizations with limited security resources or those who haven't implemented robust input validation practices are also more vulnerable. Shared hosting environments where multiple users share the same server instance could experience cross-tenant exploitation if one user's account is compromised.
• php: Examine access logs for requests to /viewcostumer.php with unusual or malformed cosid parameters. Use grep to search for SQL keywords (e.g., SELECT, UNION, INSERT) within these requests.
grep 'SELECT|UNION|INSERT' /var/log/apache2/access.log | grep /view_costumer.php• generic web: Use curl to test the /view_costumer.php endpoint with various SQL injection payloads to observe the application's response. Look for error messages or unexpected behavior.
curl 'http://example.com/view_costumer.php?cos_id=1' 2>&1 | grep -i errordisclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
Atualmente, não há correção oficial fornecida pela Code-Projects para esta vulnerabilidade. A mitigação mais imediata é desativar temporariamente a funcionalidade afetada em /view_costumer.php até que uma solução seja implementada. Recomendamos fortemente entrar em contato com a Code-Projects para solicitar uma atualização de segurança. Enquanto isso, medidas de segurança adicionais podem ser implementadas, como validação e higienização rigorosas de todas as entradas de usuário, implementação de um Firewall de Aplicações Web (WAF) e limitação de privilégios de banco de dados. Monitorar ativamente os logs do sistema em busca de atividades suspeitas também é crucial. A falta de uma correção oficial requer ação proativa e avaliação contínua de riscos.
Actualizar el sistema Accounting System a una versión parcheada que solucione la vulnerabilidad de inyección SQL en el archivo view_costumer.php. Si no hay una versión parcheada disponible, se recomienda deshabilitar o eliminar el componente afectado hasta que se pueda aplicar una solución.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é um tipo de ataque que permite que atacantes insiram código SQL malicioso em uma consulta de banco de dados, potencialmente concedendo-lhes acesso não autorizado aos dados.
Se você estiver usando Code-Projects Accounting System versão 1.0, provavelmente é vulnerável. Realize testes de penetração ou utilize ferramentas de varredura de vulnerabilidades.
Isole o sistema afetado da rede, altere todas as senhas de usuário e entre em contato com um especialista em segurança cibernética.
Desativar a funcionalidade /view_costumer.php é uma solução temporária. Implementar validação de entrada e um WAF também pode ajudar.
Você pode encontrar mais informações sobre CVE-2026-5033 em bancos de dados de vulnerabilidades como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.