Plataforma
php
Componente
online-enrollment-system
Corrigido em
1.0.1
Uma vulnerabilidade de SQL Injection foi identificada no sistema Online Enrollment System versão 1.0.0 a 1.0, impactando a funcionalidade de manipulação de parâmetros. Essa falha permite a execução de código SQL malicioso, potencialmente comprometendo a integridade dos dados. A exploração remota é possível e um exploit público já foi divulgado, exigindo atenção imediata.
Uma vulnerabilidade de injeção SQL foi descoberta no sistema de inscrição online itsourcecode versão 1.0 (CVE-2026-5534). Esta falha reside no componente 'Parameter Handler' dentro do arquivo /sms/user/index.php?view=edit&id=10, especificamente na manipulação do argumento 'USERID'. Um atacante remoto pode explorar esta vulnerabilidade para injetar código SQL malicioso, comprometendo potencialmente a integridade e a confidencialidade do banco de dados. A gravidade da vulnerabilidade é classificada como 7.3 de acordo com o CVSS, indicando um risco significativo. A disponibilidade pública de um exploit agrava ainda mais a situação, facilitando o seu uso por agentes maliciosos. A falta de uma solução (fix) disponível implica que os sistemas afetados permanecem vulneráveis até que uma correção seja implementada.
A vulnerabilidade CVE-2026-5534 é explorada através da manipulação do parâmetro 'USERID' na URL /sms/user/index.php?view=edit&id=10. Um atacante pode injetar código SQL malicioso neste parâmetro, que é então executado no banco de dados subjacente. A natureza remota da exploração significa que um atacante não precisa de acesso físico ao sistema para aproveitar esta vulnerabilidade. A disponibilidade pública de um exploit facilita enormemente a exploração, aumentando o risco de ataques direcionados. A falta de autenticação ou autorização adequadas no tratamento do parâmetro 'USERID' é a causa raiz desta vulnerabilidade.
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
Diante da ausência de uma correção oficial para CVE-2026-5534, os administradores de sistemas que utilizam o itsourcecode Online Enrollment System 1.0 são fortemente aconselhados a tomar medidas imediatas para mitigar o risco. Isso inclui, mas não se limita a, isolar o sistema afetado da rede, implementar firewalls para restringir o acesso a /sms/user/index.php, e monitorar ativamente os logs do sistema em busca de atividades suspeitas. Deve-se considerar a atualização para uma versão mais segura do sistema, se disponível, ou a implementação de medidas de segurança adicionais, como sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS). A validação e sanitização rigorosas de todas as entradas do usuário são cruciais para evitar futuras injeções SQL.
Actualice el sistema Online Enrollment System a una versión corregida. Verifique y sanee las entradas del usuario en el archivo index.php para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVSS 7.3 indica uma vulnerabilidade de alta severidade com um risco significativo de exploração.
Atualmente, não existe uma correção oficial fornecida pela itsourcecode.
Isole o sistema, restrinja o acesso à URL vulnerável, monitore os logs e considere medidas de segurança adicionais.
É uma técnica de ataque que permite que atacantes injetem código SQL malicioso em um banco de dados através de entradas de usuário.
Você pode encontrar mais informações em bancos de dados de vulnerabilidades como o NIST NVD.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.