Plataforma
php
Componente
phpgurukul-online-shopping-portal-project
Corrigido em
2.1.1
A vulnerabilidade CVE-2026-5636 representa uma falha de injeção de SQL identificada no PHPGurukul Online Shopping Portal Project, especificamente na versão 2.1. Essa falha, presente no arquivo /cancelorder.php, permite a manipulação do argumento 'oid', possibilitando a execução de comandos SQL maliciosos. As versões 2.1–2.1 são as afetadas, e a exploração pública da vulnerabilidade já foi divulgada, representando um risco significativo. No momento, não há um patch oficial disponível para mitigar essa vulnerabilidade.
Uma vulnerabilidade de injeção SQL foi descoberta no projeto Online Shopping Portal Project da PHPGurukul, versão 2.1. A vulnerabilidade reside no arquivo /cancelorder.php dentro do componente Parameter Handler. Atacantes podem manipular o argumento oid para injetar código SQL malicioso, comprometendo potencialmente a integridade e a confidencialidade do banco de dados. A pontuação CVSS é 6.3, indicando um risco moderado. A disponibilidade pública de um exploit aumenta significativamente o risco de exploração. Isso poderia permitir que atacantes acessassem informações confidenciais, modificassem dados ou até mesmo obtivessem controle do sistema.
A vulnerabilidade reside na forma como o argumento oid dentro de /cancelorder.php é tratado. Um atacante pode manipular este argumento para injetar código SQL, que é então executado contra o banco de dados. Devido à natureza remota do exploit e à sua disponibilidade pública, o risco de ataque é substancial. Atacantes podem usar isso para roubar informações de clientes, modificar o inventário ou interromper as operações do site. A falta de uma correção imediata exige uma ação rápida para mitigar o risco.
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Atualmente, nenhuma correção oficial foi lançada pela PHPGurukul para esta vulnerabilidade. A mitigação imediata e mais eficaz é desativar temporariamente a funcionalidade de cancelamento de pedidos através do arquivo /cancelorder.php. Administradores são fortemente aconselhados a atualizar para uma versão mais recente do Online Shopping Portal Project assim que estiver disponível. A implementação de práticas de codificação segura, como o uso de consultas parametrizadas ou procedimentos armazenados, pode ajudar a prevenir futuras vulnerabilidades de injeção SQL. Monitorar ativamente os logs do servidor em busca de atividades suspeitas também é crucial.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cancelorder.php. Verifique y sanee las entradas del usuario, especialmente el argumento 'oid', para prevenir la ejecución de código SQL malicioso. Implemente consultas parametrizadas o procedimientos almacenados para mitigar el riesgo de inyección SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Uma pontuação CVSS de 6.3 indica um nível de severidade moderado. Isso significa que a vulnerabilidade pode ter um impacto significativo se for explorada, mas não é considerada crítica.
Se a funcionalidade for essencial, implemente medidas de segurança adicionais, como firewalls de aplicativos web (WAFs) e sistemas de detecção de intrusão (IDS).
Use consultas parametrizadas ou procedimentos armazenados, valide e escape toda a entrada do usuário e mantenha seu software atualizado.
Existem várias ferramentas de varredura de vulnerabilidades que podem ajudar a identificar vulnerabilidades de injeção SQL, como OWASP ZAP e Burp Suite.
Você pode contatar o desenvolvedor da PHPGurukul ou procurar ajuda em fóruns de segurança online.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.