Plataforma
php
Componente
itsourcecode-online-cellphone-system
Corrigido em
1.0.1
A vulnerabilidade CVE-2026-5553 é uma falha de injeção de SQL identificada no sistema itsourcecode Online Cellphone System. Essa falha permite a um atacante executar comandos SQL maliciosos, potencialmente comprometendo a integridade e a confidencialidade dos dados. A vulnerabilidade afeta as versões 1.0.0 a 1.0 do sistema e pode ser explorada remotamente, sendo que um exploit público já foi divulgado. No momento, não há um patch oficial disponível para corrigir esta vulnerabilidade.
Uma vulnerabilidade de injeção SQL foi identificada no itsourcecode Online Cellphone System versão 1.0, especificamente no arquivo /cp/available.php, afetando o componente 'Parameter Handler'. Essa vulnerabilidade permite que um atacante remoto manipule o argumento 'Name' para executar código SQL malicioso no banco de dados do sistema. O impacto potencial é grave, incluindo a possível extração de informações confidenciais, modificação de dados ou até mesmo a tomada de controle do sistema. A disponibilidade pública do exploit aumenta significativamente o risco de exploração. A pontuação CVSS de 6.3 indica um risco moderado a alto, exigindo atenção imediata.
A vulnerabilidade está localizada no arquivo /cp/available.php dentro do componente 'Parameter Handler' do sistema itsourcecode Online Cellphone System 1.0. Um atacante pode explorar essa vulnerabilidade enviando solicitações HTTP maliciosas que manipulem o argumento 'Name' para injetar código SQL. A natureza remota da exploração significa que um atacante não precisa de acesso físico ao sistema para comprometê-lo. A disponibilidade pública do exploit facilita a exploração por parte de atacantes com diferentes níveis de habilidade técnica. A falta de uma solução oficial agrava a situação, pois o sistema permanece vulnerável a ataques.
Organizations using itsourcecode Online Cellphone System, particularly those with publicly accessible instances and those that haven't implemented robust input validation practices, are at significant risk. Shared hosting environments where multiple users share the same database are also particularly vulnerable, as a compromise of one user's account could potentially lead to a compromise of the entire database.
• php: Examine web server access logs for requests to /cp/available.php with unusual or malformed Name parameters. Look for patterns indicative of SQL injection attempts (e.g., ';--, UNION SELECT).
grep -i 'available.php.*Name.*(;|--)' /var/log/apache2/access.log• php: Review the source code of /cp/available.php for instances where the Name parameter is directly incorporated into SQL queries without proper sanitization or parameterization.
• generic web: Use a web vulnerability scanner (e.g., OWASP ZAP, Burp Suite) to automatically scan the application for SQL Injection vulnerabilities, focusing on the /cp/available.php endpoint.
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Atualmente, não existe uma solução oficial (fix) fornecida pela itsourcecode para essa vulnerabilidade. A mitigação imediata envolve isolar o sistema Online Cellphone System 1.0 da rede para prevenir ataques remotos. Recomendamos fortemente entrar em contato diretamente com a itsourcecode para solicitar uma atualização de segurança. Enquanto isso, medidas de segurança adicionais podem ser implementadas, como firewalls, sistemas de detecção de intrusão (IDS) e a revisão exaustiva do código fonte para identificar e corrigir a vulnerabilidade de injeção SQL. A implementação do princípio do menor privilégio para as contas de banco de dados também pode ajudar a limitar o dano potencial.
Actualice el sistema a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cp/available.php. Revise y sanee la entrada 'Name' para prevenir la ejecución de código SQL malicioso. Implemente validación y escape de datos en todas las entradas del usuario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é um tipo de ataque que permite a um atacante inserir código SQL malicioso em uma consulta de banco de dados, o que pode resultar em acesso não autorizado a dados, modificação de dados ou execução de comandos arbitrários.
CVSS (Common Vulnerability Scoring System) é um padrão para avaliar a gravidade das vulnerabilidades de segurança. Uma pontuação de 6.3 indica um risco moderado a alto.
Isole o sistema da rede, entre em contato com a itsourcecode para solicitar uma atualização de segurança e considere a implementação de medidas de segurança adicionais.
Existem scanners de vulnerabilidades que podem detectar injeções SQL. Também é possível realizar uma revisão manual do código fonte.
Use consultas parametrizadas ou procedimentos armazenados, valide e escape as entradas do usuário e aplique o princípio do menor privilégio às contas de banco de dados.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.