Plataforma
php
Componente
code-projects-online-application-system-for-admission
Corrigido em
1.0.1
O sistema Online Application System for Admission versão 1.0 contém uma vulnerabilidade que resulta no armazenamento inseguro de informações sensíveis. Um atacante remoto pode explorar esta falha para comprometer a segurança dos dados. O exploit para esta vulnerabilidade foi divulgado publicamente e pode ser utilizado.
A vulnerabilidade CVE-2026-5650 afeta o Sistema de Solicitação Online para Admissão da code-projects versão 1.0. Uma falha foi identificada em uma função desconhecida dentro do arquivo /enrollment/database/oas.sql, permitindo a manipulação que resulta no armazenamento inseguro de informações sensíveis. Essas informações podem incluir dados pessoais de candidatos, detalhes de admissão ou quaisquer outros dados armazenados no banco de dados. A gravidade da vulnerabilidade é classificada como 5.3 na escala CVSS, indicando um risco moderado. A disponibilidade pública do exploit aumenta significativamente o risco, pois facilita seu uso por agentes maliciosos.
A CVE-2026-5650 pode ser explorada remotamente, o que significa que um atacante não precisa de acesso físico ao sistema para comprometê-lo. O exploit publicamente disponível facilita a execução do ataque, diminuindo a barreira de entrada para atacantes com diferentes níveis de habilidade técnica. O arquivo /enrollment/database/oas.sql sugere que a vulnerabilidade está relacionada à manipulação de consultas SQL, permitindo potencialmente que um atacante injete código malicioso no banco de dados. O impacto potencial inclui a exfiltração de dados sensíveis, a modificação de registros de admissão ou até mesmo a tomada de controle do sistema.
Organizations using the Online Application System for Admission in production environments, particularly those with sensitive user data or financial information, are at significant risk. Systems with default configurations or inadequate security practices are especially vulnerable. Shared hosting environments where multiple applications share the same database are also at increased risk.
• generic web: Use curl to test the /enrollment/database/oas.sql endpoint with various SQL injection payloads. Look for errors or unexpected behavior indicating successful injection.
curl 'http://example.com/enrollment/database/oas.sql?param=1' 2>&1 | grep -i "error"• php: Examine the application's source code for the /enrollment/database/oas.sql file. Search for instances of direct SQL query construction without proper sanitization or parameterization.
• php: Check PHP error logs for SQL injection attempts or errors related to database queries.
• generic web: Monitor web server access logs for unusual requests targeting the /enrollment/database/oas.sql endpoint, especially those originating from unexpected IP addresses.
disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
Atualmente, nenhuma correção oficial foi fornecida para CVE-2026-5650 pela code-projects. A mitigação imediata mais eficaz é desativar ou restringir o acesso ao sistema de solicitação online até que uma solução seja implementada. Os administradores de sistema são fortemente aconselhados a monitorar de perto seus sistemas em busca de atividades suspeitas. Além disso, recomenda-se uma auditoria de segurança completa do código-fonte para identificar e corrigir quaisquer vulnerabilidades semelhantes. Manter o software do servidor e os bancos de dados atualizados é uma prática fundamental para reduzir a superfície de ataque. Considere a implementação de um Firewall de Aplicações Web (WAF) para proteger contra ataques comuns.
Actualice el sistema a una versión corregida que solucione la vulnerabilidad de almacenamiento inseguro de información sensible. Consulte la documentación del proveedor o las notas de la versión para obtener instrucciones específicas de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador único para uma vulnerabilidade de segurança específica no Sistema de Solicitação Online para Admissão.
Desative ou restrinja o acesso ao sistema até que uma correção seja lançada. Monitore seu sistema em busca de atividades suspeitas.
Atualmente, não há uma correção oficial. Monitore as atualizações do fornecedor.
Dados pessoais de candidatos, detalhes de admissão e quaisquer outros dados armazenados no banco de dados.
Mantenha seu software atualizado, implemente um Firewall de Aplicações Web e realize auditorias de segurança regulares.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.