Plataforma
php
Componente
leave-application-system
Corrigido em
1.0.1
CVE-2026-5326 é uma vulnerabilidade de bypass de autorização no SourceCodester Leave Application System 1.0. A falha permite que um atacante remoto ignore as verificações de autorização manipulando o parâmetro ID no manipulador de informações do usuário, afetando a função em /index.php?page=manage_user. A exploração bem-sucedida pode levar ao acesso não autorizado a informações e funcionalidades. A vulnerabilidade afeta a versão 1.0 do Leave Application System. Não há patch oficial disponível.
Uma vulnerabilidade de bypass de autorização foi identificada no sistema de solicitação de férias SourceCodester versão 1.0 (CVE-2026-5326). Esta falha afeta uma função desconhecida dentro do arquivo /index.php?page=manage_user, especificamente o componente 'User Information Handler'. Um atacante pode manipular o argumento 'ID' para contornar os controles de acesso e potencialmente obter acesso não autorizado a informações confidenciais ou realizar ações em nome de outros usuários. A gravidade da vulnerabilidade é classificada como 5.3 na escala CVSS. A exploração é remota, o que significa que um atacante pode explorar a vulnerabilidade de qualquer lugar com acesso à rede. A disponibilidade pública de um exploit agrava o risco, pois facilita a exploração por agentes maliciosos.
A vulnerabilidade reside no tratamento do argumento 'ID' dentro do componente 'User Information Handler' do arquivo /index.php?page=manage_user. Um atacante pode construir uma solicitação maliciosa que modifique o valor do argumento 'ID' para acessar informações ou funções a que normalmente não teria acesso. A natureza remota da exploração significa que um atacante não precisa estar na mesma rede que o servidor vulnerável. A disponibilidade pública de um exploit simplifica significativamente o processo de exploração, aumentando o risco de ataques. Recomenda-se uma auditoria de segurança abrangente do código-fonte para identificar e corrigir outras possíveis vulnerabilidades.
Organizations utilizing SourceCodester Leave Application System version 1.0, particularly those deploying it on shared hosting environments or without robust access controls, are at significant risk. Companies handling sensitive employee data, such as HR departments and payroll systems, should prioritize remediation.
• php / server:
grep -r "index.php?page=manage_user" /var/www/html/• php / server:
auditd -l | grep manage_user• generic web:
curl -I https://your-domain.com/index.php?page=manage_userdisclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
Atualmente, não foi fornecida uma solução oficial (fix) pelo desenvolvedor da SourceCodester para CVE-2026-5326. A mitigação imediata mais eficaz é atualizar para uma versão mais recente do sistema de solicitação de férias assim que estiver disponível. Enquanto isso, recomenda-se implementar medidas de segurança adicionais, como restringir o acesso à aplicação apenas a usuários autorizados, monitorar a atividade do sistema em busca de sinais de exploração e aplicar um firewall de aplicativos web (WAF) para filtrar tráfego malicioso. É crucial manter-se informado sobre quaisquer anúncios de segurança relacionados à SourceCodester e aplicar as atualizações assim que estiverem disponíveis. A falta de uma solução oficial requer uma postura proativa na segurança.
Actualizar a una versión parcheada o implementar controles de acceso adecuados para restringir el acceso no autorizado a la información del usuario. Validar y sanitizar las entradas del usuario para prevenir la manipulación de parámetros.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que um atacante pode contornar os controles de segurança e acessar recursos ou funções a que não deveria ter acesso.
É um identificador único para esta vulnerabilidade específica, usado para rastreá-la e referenciá-la em relatórios de segurança.
Implemente medidas de segurança adicionais, como restringir o acesso, monitorar a atividade e considere um WAF.
Sim, um exploit público está disponível, o que aumenta o risco de exploração.
Mantenha-se atualizado sobre os anúncios de segurança da SourceCodester e consulte bancos de dados de vulnerabilidades como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.