Plataforma
php
Corrigido em
1.0.1
A vulnerabilidade CVE-2026-5034 é um problema de SQL Injection no Accounting System versão 1.0. Essa falha, com CVSS 7.3, permite a injeção de código SQL malicioso. O componente afetado é o Parameter Handler. Atualmente, não há uma correção oficial disponível.
Uma vulnerabilidade de injeção SQL foi descoberta no sistema de contabilidade Code-Projects versão 1.0. Essa falha reside no arquivo /editcostumer.php, especificamente no componente 'Parameter Handler'. Um atacante pode explorar essa vulnerabilidade manipulando o argumento cosid, o que pode permitir que ele acesse, modifique ou exclua dados confidenciais do banco de dados. A gravidade da vulnerabilidade é classificada como 7.3 no CVSS, indicando um risco moderadamente alto. O fato de o exploit já ter sido publicado representa um risco significativo, pois facilita a exploração por parte de agentes maliciosos. A falta de uma solução (fix) disponível agrava ainda mais a situação, exigindo atenção imediata para mitigar o risco.
A vulnerabilidade de injeção SQL em /editcostumer.php pode ser explorada remotamente. Um atacante pode enviar solicitações maliciosas ao sistema, manipulando o parâmetro cosid para injetar código SQL. A publicação do exploit facilita a identificação da vulnerabilidade e sua posterior exploração. O componente 'Parameter Handler' parece ser o ponto de entrada para a injeção, o que sugere que a validação da entrada do usuário é insuficiente. A falta de sanitização adequada dos dados de entrada permite que os atacantes executem comandos SQL arbitrários, comprometendo a integridade e a confidencialidade dos dados armazenados no banco de dados. A natureza remota da exploração implica que um atacante pode comprometer o sistema de qualquer local com acesso à rede.
Organizations utilizing code-projects Accounting System version 1.0, particularly those hosting the application on publicly accessible servers, are at significant risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's account could potentially lead to the compromise of others.
• php / web:
curl -s -X POST -d "cos_id='; DROP TABLE users;--" http://your-accounting-system/edit_costumer.php | grep "error in your query" • generic web:
curl -I http://your-accounting-system/edit_costumer.php?cos_id='; SELECT version(); --disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
Dado que não existe uma solução oficial (fix) para CVE-2026-5034, a mitigação imediata requer medidas de segurança adicionais. Recomenda-se fortemente desconectar ou isolar o sistema de contabilidade Code-Projects versão 1.0 até que uma solução possa ser implementada. A implementação de um firewall de aplicativos web (WAF) pode ajudar a bloquear tentativas de exploração conhecidas. Além disso, é crucial revisar e fortalecer as políticas de acesso ao banco de dados, limitando os privilégios dos usuários e aplicando o princípio do menor privilégio. Monitorar ativamente os registros do sistema em busca de atividades suspeitas é essencial para detectar e responder a possíveis ataques. Deve-se entrar em contato com o fornecedor do sistema de contabilidade para solicitar uma atualização ou patch de segurança.
Atualizar o sistema Accounting System para uma versão corrigida que corrija a vulnerabilidade de injeção (SQL) no arquivo edit_costumer.php. Se não houver uma versão disponível, recomenda-se validar e limpar as entradas do parâmetro cos_id para prevenir a execução de código (SQL) malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5034 is a SQL Injection vulnerability affecting code-projects Accounting System version 1.0, allowing attackers to manipulate database queries through the /edit_costumer.php file.
If you are using code-projects Accounting System version 1.0, you are potentially affected. Check the vendor's website for updates or contact their support.
Upgrade to the latest patched version of code-projects Accounting System. Implement input validation and consider using a WAF as temporary mitigations.
A public proof-of-concept exploit is available, indicating a high likelihood of active exploitation.
Refer to the code-projects website or contact their support for the official advisory regarding CVE-2026-5034.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.