Plataforma
php
Componente
itsourcecode-construction-management-system
Corrigido em
1.0.1
A vulnerabilidade CVE-2026-5660 é uma falha de SQL Injection identificada no sistema itsourcecode Construction Management System, especificamente na versão 1.0.0 a 1.0. Essa falha permite a manipulação de consultas SQL através da exploração do argumento 'emp' no arquivo /borrowed_equip.php, possibilitando o acesso não autorizado e a alteração de dados. A vulnerabilidade foi divulgada publicamente e pode ser explorada remotamente, sendo crucial a implementação de medidas de mitigação.
Uma vulnerabilidade de injeção SQL foi identificada no sistema de gerenciamento de construção itsourcecode versão 1.0. A vulnerabilidade reside em uma função desconhecida no arquivo /borrowed_equip.php, especificamente no componente 'Parameter Handler'. Um atacante pode explorar essa falha manipulando o argumento 'emp' para injetar código SQL malicioso. A gravidade da vulnerabilidade é classificada como CVSS 6.3, indicando um risco moderado. A exploração remota é possível, o que significa que um atacante pode aproveitar a vulnerabilidade de qualquer local com acesso à rede. A divulgação pública da vulnerabilidade aumenta o risco de exploração, pois os atacantes agora têm conhecimento da falha e podem desenvolver exploits.
A vulnerabilidade de injeção SQL em /borrowed_equip.php permite que um atacante remoto manipule a consulta SQL subjacente. Ao injetar código SQL malicioso através do argumento 'emp', o atacante pode potencialmente acessar, modificar ou excluir dados confidenciais armazenados no banco de dados. Isso pode incluir informações do cliente, dados financeiros ou detalhes do projeto de construção. A divulgação pública da vulnerabilidade significa que os atacantes têm acesso a informações sobre como explorá-la, aumentando a probabilidade de um ataque bem-sucedido. A falta de uma correção disponível agrava ainda mais a situação, deixando os usuários vulneráveis à exploração.
Construction companies and businesses utilizing the itsourcecode Construction Management System, particularly those with publicly accessible instances or weak security configurations, are at significant risk. Organizations relying on this system for managing project data and financial information are especially vulnerable to data breaches and operational disruptions.
• php: Examine the /borrowedequip.php file for unsanitized use of the 'emp' parameter in SQL queries. Search for patterns like mysqliquery or PDO::query where user input is directly concatenated into the query string.
// Example of vulnerable code
$emp = $_GET['emp'];
$sql = "SELECT * FROM users WHERE username = '$emp';";
mysqli_query($conn, $sql);• generic web: Monitor access logs for requests to /borrowed_equip.php with unusual or malicious-looking values in the 'emp' parameter (e.g., containing single quotes, semicolons, or SQL keywords). • generic web: Use a WAF to detect and block SQL injection attempts targeting the /borrowed_equip.php endpoint. Configure rules to identify common SQL injection patterns and payloads.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
Atualmente, nenhuma correção oficial foi fornecida pelos desenvolvedores da itsourcecode para esta vulnerabilidade. Os usuários do sistema de gerenciamento de construção itsourcecode versão 1.0 são fortemente aconselhados a tomar medidas imediatas para mitigar o risco. Isso inclui, mas não se limita a, segmentação de rede para limitar o acesso ao sistema, implementação de firewalls e sistemas de detecção de intrusão, e monitoramento ativo dos logs do sistema em busca de atividades suspeitas. Também é altamente recomendável entrar em contato com o fornecedor para solicitar uma atualização de segurança o mais rápido possível. Até que um patch seja lançado, o aplicativo deve ser considerado inseguro.
Actualice el sistema de gestión de la construcción itsourcecode a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como medida de seguridad adicional, implemente una validación y saneamiento de entrada robustos para prevenir futuras inyecciones SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é um ataque de segurança que permite que os atacantes interfiram nas consultas enviadas a um banco de dados. Eles podem usá-la para acessar informações confidenciais, modificar dados ou até mesmo executar comandos no servidor.
CVSS (Common Vulnerability Scoring System) é um padrão para avaliar a gravidade das vulnerabilidades de segurança. Uma pontuação de 6.3 indica um risco moderado.
Você deve tomar medidas imediatas para mitigar o risco, como segmentação de rede, implementação de firewalls e monitoramento dos logs do sistema. Você também deve entrar em contato com o fornecedor para solicitar uma atualização de segurança.
Atualmente, não há correção oficial disponível. As medidas de mitigação descritas acima são as melhores opções disponíveis até que um patch seja lançado.
Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de login com falha, alterações inesperadas de dados ou tráfego de rede incomum.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.