Plataforma
php
Componente
code-projects-online-application-system-for-admission
Corrigido em
1.0.1
O sistema Online Application System for Admission versão 1.0 apresenta uma vulnerabilidade de SQL Injection. Esta falha permite que um atacante remoto execute consultas SQL maliciosas, potencialmente comprometendo a integridade e a confidencialidade dos dados. O exploit para esta vulnerabilidade foi divulgado publicamente e pode ser utilizado.
Uma vulnerabilidade de injeção SQL foi identificada no sistema de inscrição online para admissão da code-projects versão 1.0, designada como CVE-2026-5649. Esta falha afeta o processamento de arquivos dentro de /enrollment/admsnform.php do componente Endpoint. Um atacante remoto pode explorar esta vulnerabilidade manipulando as entradas, o que pode levar ao acesso não autorizado ao banco de dados, modificação de dados ou até mesmo à execução de comandos no servidor. A gravidade da vulnerabilidade é classificada como 6.3 de acordo com o CVSS. A divulgação pública do exploit sinaliza uma alta probabilidade de exploração e representa um risco significativo para as organizações que utilizam este sistema. A ausência de uma correção agrava ainda mais a situação, necessitando de esforços de mitigação imediatos.
A vulnerabilidade CVE-2026-5649 reside dentro do arquivo /enrollment/admsnform.php do componente Endpoint no sistema de inscrição online para admissão da code-projects versão 1.0. Representa uma vulnerabilidade de injeção SQL explorável remotamente. Um atacante pode injetar código SQL malicioso através da entrada do usuário, permitindo o acesso não autorizado ao banco de dados. A divulgação pública do exploit indica que os atacantes já possuem a capacidade de explorar esta falha. A ausência de um patch aumenta o risco de exploração. O sistema é vulnerável a ataques com o objetivo de obter informações confidenciais, modificar dados ou até mesmo obter o controle do servidor.
Educational institutions and organizations utilizing the Online Application System for Admission for student enrollment are at risk. Specifically, deployments with weak database security configurations or those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple applications share the same database are also at increased risk.
• php / web:
curl -s -X POST -d "admsnform.php?param='; DROP TABLE users;--" http://your-target-host/enrollment/ | grep -i "error"• generic web:
curl -I http://your-target-host/enrollment/admsnform.php?param='; SELECT version(); --disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Dada a falta de uma correção oficial para CVE-2026-5649, as organizações que utilizam o sistema de inscrição online para admissão da code-projects versão 1.0 devem implementar medidas de mitigação imediatas. Estas incluem, mas não se limitam a, desativar temporariamente o sistema, implantar um Firewall de Aplicações Web (WAF) para filtrar solicitações maliciosas e revisar minuciosamente o código-fonte para identificar e corrigir a vulnerabilidade de injeção SQL. Recomenda-se fortemente entrar em contato com o fornecedor do software para obter uma atualização de segurança. Além disso, o monitoramento contínuo do sistema em busca de atividades suspeitas e o fortalecimento das medidas de segurança existentes, como políticas de senha e autenticação de dois fatores, são cruciais.
Actualice el módulo a la última versión disponible o aplique parches de seguridad para mitigar la vulnerabilidad de inyección SQL. Revise y sanee las entradas del usuario en el archivo /enrollment/admsnform.php para prevenir la ejecución de consultas SQL maliciosas. Implemente validación y escape de datos para proteger contra futuras inyecciones SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é uma técnica de ataque que permite que atacantes insiram código SQL malicioso em um aplicativo para acessar ou manipular o banco de dados.
Um atacante pode potencialmente acessar, modificar ou excluir dados confidenciais armazenados no banco de dados do sistema.
Desative temporariamente o sistema, implante um WAF, revise o código e entre em contato com o fornecedor para obter uma correção.
Atualmente, não há uma correção oficial disponível para esta vulnerabilidade.
Implemente práticas de codificação seguras, use validação de entrada e mantenha seu software atualizado.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.