Plataforma
php
Componente
car-rental-project
Corrigido em
1.0.1
A vulnerabilidade CVE-2026-5634 é uma falha de injeção de SQL identificada no projeto Car Rental Project, especificamente na funcionalidade do arquivo /book_car.php, que lida com parâmetros. Essa falha permite a manipulação de dados através da injeção de comandos SQL, podendo comprometer a integridade do banco de dados. A vulnerabilidade afeta as versões 1.0.0 a 1.0 do projeto. Exploit público disponível, a correção está pendente.
Uma vulnerabilidade de injeção SQL foi identificada no projeto Car Rental Project 1.0, especificamente no arquivo /book_car.php. Esta vulnerabilidade afeta o componente de tratamento de parâmetros e permite que um atacante manipule o argumento 'fname' para executar código SQL malicioso. O risco é significativo, com uma pontuação CVSS de 7.3, indicando uma vulnerabilidade de alta severidade. A exploração é remota, o que significa que o atacante não precisa de acesso físico ao sistema. A disponibilidade pública de um exploit agrava a situação, aumentando o risco de ataques. A injeção SQL pode permitir que um atacante acesse, modifique ou exclua dados confidenciais do banco de dados, comprometendo a integridade e a confidencialidade das informações do cliente e da empresa.
A vulnerabilidade reside no arquivo /book_car.php, dentro do componente de tratamento de parâmetros. Um atacante pode explorar esta vulnerabilidade enviando uma solicitação maliciosa que manipule o argumento 'fname' com código SQL injetado. A natureza remota da vulnerabilidade significa que um atacante pode lançar o ataque de qualquer local com acesso à rede onde a aplicação é executada. A disponibilidade pública do exploit facilita a exploração por parte de atacantes com diferentes níveis de habilidade técnica. O impacto potencial é a exposição de dados confidenciais, a modificação do banco de dados e a possível tomada de controle do sistema.
Car rental businesses and organizations utilizing the Car Rental Project software, particularly those hosting their applications on shared hosting environments or without robust input validation measures, are at significant risk. Legacy configurations and deployments that haven't been regularly updated are also vulnerable.
• php / web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; DROP TABLE users;--" | grep "error"• generic web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; SELECT version();--" | grep "MySQL"disclosure
poc
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
Atualmente, não foi fornecida uma correção (fix) oficial para esta vulnerabilidade. A mitigação imediata requer a implementação de medidas de segurança adicionais para proteger a aplicação. Recomenda-se fortemente validar e higienizar todas as entradas do usuário, especialmente o argumento 'fname', antes de usá-las em consultas SQL. O uso de instruções preparadas (prepared statements) ou procedimentos armazenados é uma prática segura para prevenir a injeção SQL. Além disso, o acesso ao banco de dados deve ser limitado apenas aos usuários e aplicações que o necessitem, e a atividade do banco de dados deve ser monitorada em busca de padrões suspeitos. É aconselhável entrar em contato com o desenvolvedor do projeto para solicitar uma atualização e acompanhar de perto quaisquer anúncios de segurança.
Actualice el proyecto Car Rental Project a una versión corregida. Verifique las fuentes oficiales del proyecto para obtener instrucciones específicas de actualización y parches de seguridad. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de entradas, para mitigar el riesgo de futuras inyecciones SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é uma técnica de ataque que permite a um atacante inserir código SQL malicioso em uma consulta ao banco de dados, o que pode comprometer a segurança da aplicação.
CVSS 7.3 é uma pontuação de severidade que indica que a vulnerabilidade é de alta severidade e representa um risco significativo para a segurança.
Valide e higienize todas as entradas do usuário, use instruções preparadas, limite o acesso ao banco de dados e monitore a atividade do banco de dados.
Atualmente, não há uma solução oficial. Implemente as medidas de mitigação recomendadas até que uma atualização seja publicada.
Entre em contato com o desenvolvedor do projeto Car Rental Project para obter mais informações e atualizações de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.