Plataforma
php
Componente
phpgurukul-online-shopping-portal-project
Corrigido em
2.1.1
Uma vulnerabilidade de SQL Injection foi descoberta no PHPGurukul Online Shopping Portal Project, especificamente na versão 2.1. Essa falha reside no tratamento do parâmetro 'pid' no arquivo /sub-category.php, permitindo a manipulação e a possível extração ou modificação de dados do banco de dados. A exploração remota é viável e o exploit já foi divulgado, representando um risco significativo para sistemas vulneráveis. Atualmente, não há uma correção oficial disponível para esta vulnerabilidade.
Uma vulnerabilidade de injeção SQL foi identificada no projeto Online Shopping Portal Project da PHPGurukul, versão 2.1, especificamente no arquivo /sub-category.php e no componente Parameter Handler. A vulnerabilidade decorre do tratamento inadequado do argumento 'pid', permitindo a injeção de código SQL malicioso. A exploração remota é possível, o que significa que um atacante pode explorar essa fraqueza de qualquer lugar com acesso à rede. A vulnerabilidade é classificada como CVSS 6.3, indicando um risco moderado. A exploração bem-sucedida pode permitir que um atacante acesse, modifique ou exclua dados confidenciais no banco de dados, comprometendo a integridade e a confidencialidade do sistema. A disponibilidade pública de um exploit aumenta significativamente o risco de ataques.
A vulnerabilidade reside no arquivo /sub-category.php, especificamente no tratamento do argumento 'pid'. Um atacante pode manipular este argumento para injetar código SQL malicioso. A exploração é remota, permitindo que os atacantes explorem a vulnerabilidade de qualquer local com acesso à rede. A disponibilidade pública do exploit diminui a barreira de entrada para atacantes com diferentes níveis de habilidade. O impacto potencial inclui perda de dados, modificação de dados e negação de serviço. A falta de um patch oficial sublinha a urgência de implementar medidas de mitigação.
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Atualmente, não há correção oficial disponível da PHPGurukul para esta vulnerabilidade. A mitigação mais imediata é atualizar para uma versão mais recente do Online Shopping Portal Project, se existir. Enquanto isso, é fortemente recomendada a validação e sanitização rigorosas das entradas, especialmente do parâmetro 'pid'. A utilização de prepared statements ou stored procedures pode ajudar a prevenir a injeção SQL. O monitoramento ativo dos logs do servidor em busca de atividades suspeitas também é crucial. Considere a implementação de um Web Application Firewall (WAF) para filtrar tráfego malicioso.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /sub-category.php. Revise y sanee el código para evitar futuras inyecciones SQL, utilizando consultas preparadas o funciones de escape adecuadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é uma técnica em que um atacante insere código SQL malicioso em uma consulta de banco de dados, potencialmente permitindo que ele acesse, modifique ou exclua dados confidenciais.
CVSS (Common Vulnerability Scoring System) é um padrão para avaliar a gravidade das vulnerabilidades de segurança. Uma pontuação de 6.3 indica um risco moderado.
Implemente as medidas de mitigação recomendadas, como validação de entrada e monitoramento de log. Procure atualizações para o projeto e atualize para a versão mais recente o mais rápido possível.
Várias ferramentas de verificação de vulnerabilidade podem ajudar a detectar a injeção SQL. Opções populares incluem OWASP ZAP e SQLMap.
Você pode encontrar mais informações sobre injeção SQL no site do OWASP (Open Web Application Security Project): https://owasp.org/www-project-top-ten/.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.