Plataforma
php
Componente
phpgurukul-online-course-registration
Corrigido em
3.1.1
CVE-2026-5814 describes a SQL Injection vulnerability affecting PHPGurukul Online Course Registration versions 3.1 through 3.1. This flaw allows attackers to manipulate SQL queries through the 'regno' parameter within the /admin/check_availability.php file. Successful exploitation could result in unauthorized data access or modification. A patch is expected to address this issue.
Uma vulnerabilidade de injeção SQL foi detectada no PHPGurukul Online Course Registration versão 3.1. Esta falha reside no arquivo /admin/check_availability.php e é explorada através da manipulação do argumento regno. Um atacante remoto pode aproveitar esta vulnerabilidade para executar consultas SQL maliciosas contra o banco de dados, comprometendo potencialmente a confidencialidade, integridade e disponibilidade das informações armazenadas. A severidade da vulnerabilidade é classificada como 7.3 na escala CVSS. A divulgação pública do exploit aumenta significativamente o risco de ataques, facilitando a replicação e adaptação da exploração por agentes maliciosos. A ausência de uma correção (fix) indica que os sistemas afetados permanecem vulneráveis até que uma atualização ou patch seja implementado.
A vulnerabilidade está localizada no arquivo /admin/check_availability.php do sistema PHPGurukul Online Course Registration 3.1. Um atacante pode explorar esta vulnerabilidade enviando uma solicitação HTTP maliciosa para o arquivo, manipulando o parâmetro regno para injetar código SQL. O exploit é acessível remotamente, o que significa que um atacante não precisa de acesso físico ao servidor para explorá-lo. A divulgação pública do exploit facilita seu uso por atacantes com diferentes níveis de habilidade técnica. A falta de uma correção oficial torna os sistemas afetados um alvo atraente para atacantes.
Organizations and individuals using PHPGurukul Online Course Registration version 3.1 are at risk. This includes educational institutions, training providers, and anyone hosting or using this software for online course management. Shared hosting environments are particularly vulnerable, as they may be difficult to patch independently.
• php / web:
curl -s -X POST "http://<target>/admin/check_availability.php?regno='; DROP TABLE users;--" | grep "Error"• generic web:
curl -s -X POST "http://<target>/admin/check_availability.php?regno='; SELECT version();--" | grep "MySQL"disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
Diante da falta de uma correção oficial (fix) fornecida pelo desenvolvedor, a mitigação imediata requer medidas preventivas. Recomendamos fortemente desabilitar temporariamente o arquivo /admin/check_availability.php ou restringir o acesso a ele apenas a usuários autorizados e confiáveis. Implementar uma validação e sanitização robustas de todas as entradas de usuário, especialmente o argumento regno, é crucial para prevenir futuras injeções SQL. Realizar auditorias de segurança periódicas do código-fonte e da configuração do sistema pode ajudar a identificar e corrigir vulnerabilidades semelhantes. Considere atualizar para uma versão mais recente do software, se disponível, assim que uma solução oficial for lançada. Monitore os logs do sistema em busca de atividades suspeitas relacionadas ao banco de dados.
Actualice el plugin PHPGurukul Online Course Registration a la última versión disponible para mitigar la vulnerabilidad de inyección SQL. Verifique las fuentes oficiales del proveedor para obtener instrucciones específicas de actualización y parches de seguridad. Implemente validaciones y escapes adecuados en la entrada del usuario para prevenir futuras inyecciones SQL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é um ataque que permite a um atacante inserir código SQL malicioso em uma consulta de banco de dados, o que pode permitir que ele acesse, modifique ou exclua dados.
Se você está usando PHPGurukul Online Course Registration versão 3.1, provavelmente está afetado. Monitore os logs do seu sistema em busca de erros relacionados ao banco de dados.
Se não puder desabilitar o arquivo, implemente uma validação e sanitização robustas de todas as entradas de usuário, especialmente o argumento regno.
Existem várias ferramentas de segurança que podem ajudar a proteger seu sistema contra injeção SQL, como firewalls de aplicativos da web (WAFs) e scanners de vulnerabilidades.
Atualmente, não há uma data estimada para uma correção oficial. Verifique o site do desenvolvedor para obter atualizações.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.