Plataforma
php
Componente
phpgurukul-online-shopping-portal-project
Corrigido em
2.1.1
A vulnerabilidade CVE-2026-5641 é uma falha de SQL Injection identificada no PHPGurukul Online Shopping Portal Project, especificamente na função desconhecida do arquivo /admin/update-image1.php. Essa falha permite a manipulação do argumento 'filename', resultando em injeção de SQL e potencial acesso não autorizado aos dados. A vulnerabilidade afeta a versão 2.1 do software e já foi divulgada publicamente, tornando-a um risco significativo.
Uma vulnerabilidade de injeção SQL foi identificada no projeto Online Shopping Portal Project da PHPGurukul, versão 2.1 (CVE-2026-5641). Essa vulnerabilidade reside em uma função desconhecida no arquivo /admin/update-image1.php, especificamente no tratamento do argumento filename. Um atacante remoto pode explorar essa falha manipulando esse argumento para executar consultas SQL maliciosas no banco de dados. A severidade da vulnerabilidade é classificada como 6.3 na escala CVSS, indicando um risco moderado. O fato de a exploração ser pública aumenta significativamente o risco, pois facilita a identificação e o uso da vulnerabilidade por agentes maliciosos. A injeção SQL pode permitir que atacantes acessem, modifiquem ou excluam dados sensíveis, comprometendo a integridade e a confidencialidade do sistema.
CVE-2026-5641 pode ser explorado remotamente através do arquivo /admin/update-image1.php. Um atacante pode enviar uma requisição HTTP maliciosa com um argumento filename manipulado contendo código SQL. Esse código SQL será injetado na consulta do banco de dados, permitindo que o atacante execute comandos arbitrários no banco de dados. A divulgação pública da exploração significa que os atacantes têm acesso às ferramentas e técnicas necessárias para explorar a vulnerabilidade com relativa facilidade. Isso aumenta o risco de ataques direcionados a sistemas que executam a versão vulnerável do projeto Online Shopping Portal Project. Recomenda-se uma auditoria de segurança completa para identificar e corrigir quaisquer outras vulnerabilidades potenciais.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
Atualmente, não foi publicado um fix oficial pela PHPGurukul para essa vulnerabilidade. A mitigação imediata mais eficaz é atualizar para uma versão mais segura do projeto Online Shopping Portal Project, se disponível. Enquanto isso, é altamente recomendável implementar validação e higienização robustas de entrada, especialmente para nomes de arquivo. Usar consultas parametrizadas ou procedimentos armazenados em vez de concatenar diretamente a entrada do usuário em consultas SQL pode ajudar a prevenir a injeção SQL. Além disso, restringir o acesso ao arquivo /admin/update-image1.php apenas a usuários autorizados e monitorar o sistema em busca de atividades suspeitas são práticas recomendáveis. Monitore ativamente a página do projeto para quaisquer anúncios de patch ou atualização.
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee todas las entradas de usuario, especialmente el parámetro 'filename', para prevenir la inyección SQL. Implemente validación y escape adecuados en las consultas SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Injeção SQL é uma vulnerabilidade de segurança que permite que atacantes insiram código SQL malicioso em uma consulta de banco de dados, comprometendo a integridade e a confidencialidade dos dados.
Se você estiver usando a versão 2.1 do projeto Online Shopping Portal Project, provavelmente é vulnerável. Realize testes de penetração ou use ferramentas de varredura de vulnerabilidades para confirmar.
Implemente medidas de mitigação, como validação de entrada, consultas parametrizadas e restrições de acesso ao arquivo vulnerável.
Existem várias ferramentas de varredura de vulnerabilidades que podem detectar a injeção SQL. Consulte ferramentas de segurança web de código aberto ou comerciais.
Você pode encontrar mais informações sobre essa vulnerabilidade em bancos de dados de vulnerabilidades como o National Vulnerability Database (NVD) e outros recursos de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.