Plataforma
php
Corrigido em
1.0.1
CVE-2026-5035 descreve uma vulnerabilidade de SQL Injection encontrada no Accounting System versão 1.0. A falha reside no arquivo /viewwork.php, especificamente no tratamento do parâmetro 'enid', permitindo que atacantes remotos injetem código SQL malicioso. A exploração bem-sucedida pode levar à leitura ou modificação não autorizada de dados no banco de dados. A vulnerabilidade afeta a versão 1.0 do Accounting System. Não há patch oficial disponível para corrigir esta vulnerabilidade.
Uma vulnerabilidade de injeção SQL foi identificada no sistema de contabilidade 'code-projects' versão 1.0. A vulnerabilidade reside no arquivo /viewwork.php dentro do componente 'Parameter Handler', especificamente no tratamento do argumento enid. Um atacante remoto pode explorar esta vulnerabilidade manipulando este argumento para executar consultas SQL maliciosas no banco de dados. A divulgação pública do exploit aumenta significativamente o risco de exploração, pois os atacantes podem utilizar as informações disponíveis para comprometer sistemas vulneráveis. A falta de uma solução (fix) disponível agrava a situação, exigindo atenção imediata para mitigar o risco. O impacto potencial inclui a perda de dados confidenciais, a modificação de registros contábeis e a tomada de controle do sistema.
A vulnerabilidade de injeção SQL no 'code-projects Accounting System' 1.0 é explorada através da manipulação do parâmetro enid no arquivo /viewwork.php. A natureza remota da vulnerabilidade significa que um atacante pode explorá-la sem a necessidade de acesso físico ao sistema. A divulgação pública do exploit facilita a exploração, pois os atacantes têm acesso a informações detalhadas sobre como explorar a vulnerabilidade. O componente 'Parameter Handler' é responsável por processar os parâmetros de entrada, e a falta de validação adequada de en_id permite a injeção de código SQL. Esta vulnerabilidade é particularmente perigosa porque pode permitir aos atacantes aceder, modificar ou eliminar dados confidenciais do banco de dados, comprometendo a integridade e a confidencialidade do sistema de contabilidade.
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
Considerando a ausência de uma solução oficial (fix) para CVE-2026-5035, as organizações que utilizam o 'code-projects Accounting System' versão 1.0 devem implementar medidas de mitigação imediatas. Estas medidas incluem a segmentação da rede para limitar o acesso ao banco de dados, a implementação de firewalls de aplicações web (WAF) para filtrar tráfego malicioso e a revisão exaustiva do código fonte para identificar e corrigir a vulnerabilidade. Recomenda-se enfaticamente realizar auditorias de segurança periódicas e aplicar o princípio do 'menor privilégio' para limitar os permissões dos usuários. Monitorar ativamente os registros do sistema em busca de atividade suspeita também é crucial. Considerar a atualização para uma versão mais segura do sistema, se estiver disponível, é a solução mais eficaz a longo prazo.
Actualizar el sistema Accounting System a una versión posterior a la 1.0 o aplicar un parche que corrija la vulnerabilidad de inyección SQL en el archivo view_work.php. Se recomienda validar y limpiar las entradas del usuario, especialmente el parámetro en_id, antes de utilizarlas en consultas SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é um tipo de vulnerabilidade de segurança que permite aos atacantes inserir código SQL malicioso em uma consulta de banco de dados, o que pode levar ao acesso não autorizado, à modificação ou à eliminação de dados.
Significa que a informação sobre como explorar a vulnerabilidade está disponível publicamente, o que aumenta o risco de que seja utilizada por atacantes.
Implemente medidas de mitigação imediatas, como a segmentação da rede e a revisão do código fonte. Monitore ativamente os registros do sistema em busca de atividade suspeita.
Atualmente, não foi fornecida uma solução oficial (fix) para CVE-2026-5035.
Implemente práticas de desenvolvimento seguro, realize auditorias de segurança periódicas e aplique o princípio do 'menor privilégio'.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.