Plataforma
php
Componente
phpgurukul-online-course-registration
Corrigido em
3.1.1
A SQL Injection vulnerability has been discovered in PHPGurukul Online Course Registration versions 3.1. This flaw resides within the /check_availability.php file and allows attackers to manipulate the 'cid' argument, potentially leading to unauthorized data access or modification. The vulnerability is remotely exploitable and a public exploit is available, increasing the risk of immediate attacks. Addressing this vulnerability requires upgrading to a patched version.
Uma vulnerabilidade de injeção SQL foi identificada no PHPGurukul Online Course Registration versão 3.1. Esta falha, catalogada como CVE-2026-5813, reside no arquivo /check_availability.php e é ativada pela manipulação do parâmetro 'cid'. Um atacante remoto pode explorar esta vulnerabilidade para executar consultas SQL maliciosas no banco de dados do sistema, comprometendo potencialmente a confidencialidade, integridade e disponibilidade dos dados. A disponibilidade pública do exploit agrava a situação, aumentando o risco de ataques direcionados. A severidade CVSS é de 7.3, indicando um risco alto. A falta de uma solução oficial (fix: none) exige atenção imediata para mitigar o perigo.
A vulnerabilidade está localizada no arquivo /check_availability.php, especificamente no tratamento do parâmetro 'cid'. Um atacante pode injetar código SQL malicioso neste parâmetro, que será então executado pelo sistema. A natureza remota da vulnerabilidade significa que um atacante não precisa de acesso físico ao servidor para explorá-la. A disponibilidade pública do exploit facilita a exploração por agentes maliciosos com diferentes níveis de habilidade técnica. A falta de uma solução oficial implica que o risco de exploração permanece alto até que medidas de mitigação sejam implementadas.
Educational institutions and organizations utilizing PHPGurukul Online Course Registration version 3.1 are at significant risk. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as an attacker could potentially compromise other applications on the same server. Organizations relying on this application for critical course management and student data storage face the highest potential impact.
• php / server:
grep -r 'cid=.*;' /var/log/apache2/access.log
grep -r 'SELECT .* FROM .* WHERE' /var/log/apache2/error.log• generic web:
curl -I 'http://your-website.com/check_availability.php?cid='; # Check for unusual response headersdisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
Diante da ausência de uma solução oficial fornecida pelo desenvolvedor, a mitigação de CVE-2026-5813 requer medidas proativas. Recomenda-se fortemente atualizar para uma versão mais recente do PHPGurukul Online Course Registration, se disponível. Na ausência de uma atualização, controles de segurança adicionais devem ser implementados, como a validação e sanitização exaustivas de todas as entradas do usuário, especialmente o parâmetro 'cid'. A implementação de um Firewall de Aplicações Web (WAF) pode ajudar a detectar e bloquear tentativas de injeção SQL. Monitorar a atividade do banco de dados em busca de padrões suspeitos também é crucial. Considere a segmentação da rede para limitar o impacto potencial de uma violação.
Actualice el plugin PHPGurukul Online Course Registration a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las fuentes oficiales del proveedor para obtener instrucciones de actualización específicas. Implemente validaciones y escapes adecuados para las entradas del usuario en el archivo /check_availability.php para prevenir futuras inyecciones SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador único para esta vulnerabilidade de segurança.
Se você usa PHPGurukul Online Course Registration 3.1, seu site é vulnerável a ataques de injeção SQL.
Implemente medidas de mitigação, como validação de entrada e a implantação de um WAF.
Atualmente, não existe uma solução oficial fornecida pelo desenvolvedor (fix: none).
Consulte bancos de dados de vulnerabilidades como o National Vulnerability Database (NVD) para obter mais detalhes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.