Plataforma
php
Componente
vehicle-showroom-management-system
Corrigido em
1.0.1
A SQL Injection vulnerability has been identified in code-projects Vehicle Showroom Management System versions 1.0.0 through 1.0. This flaw resides in the processing of the /util/UpdateVehicleFunction.php file, specifically through manipulation of the VEHICLE_ID argument. Successful exploitation could allow an attacker to gain unauthorized access to sensitive data and potentially compromise the system.
Uma vulnerabilidade de injeção SQL foi identificada no sistema de gestão de concessionárias de veículos code-projects versão 1.0 (CVE-2026-6166). Essa vulnerabilidade reside no arquivo /util/UpdateVehicleFunction.php e é explorada através da manipulação do argumento VEHICLE_ID. Um atacante remoto pode aproveitar essa falha para executar consultas SQL maliciosas, potencialmente acessando, modificando ou excluindo dados sensíveis do banco de dados. A gravidade da vulnerabilidade é classificada como 7.3 na escala CVSS, indicando um risco moderado a alto. A divulgação pública da exploração aumenta significativamente o risco para os usuários do sistema, pois os atacantes agora têm informações disponíveis sobre como explorar a vulnerabilidade. A falta de uma correção prontamente disponível exige uma avaliação completa do sistema e a implementação de medidas de segurança alternativas.
CVE-2026-6166 permite que um atacante remoto explore a validação inadequada do parâmetro VEHICLE_ID dentro do arquivo /util/UpdateVehicleFunction.php. Ao injetar código SQL malicioso neste parâmetro, o atacante pode manipular as consultas SQL executadas pelo sistema. A divulgação pública da exploração significa que os atacantes já têm conhecimento de como explorar a vulnerabilidade, aumentando o risco de ataques. A exploração pode resultar na perda de confidencialidade, integridade e disponibilidade dos dados armazenados no banco de dados do sistema de gestão de concessionárias. Os administradores de sistema são aconselhados a tomar medidas imediatas para proteger seus sistemas.
Organizations utilizing the Vehicle Showroom Management System, particularly those with publicly accessible instances and inadequate input validation measures, are at significant risk. Shared hosting environments where multiple users share the same server and database are especially vulnerable, as a compromise of one user's account could potentially expose data for other users.
• php / generic web:
grep -r "UpdateVehicleFunction.php" /var/www/html/• generic web:
curl -I 'http://your-vehicle-showroom-system/util/UpdateVehicleFunction.php?VEHICLE_ID=1' | grep 'SQL injection'• generic web:
curl 'http://your-vehicle-showroom-system/util/UpdateVehicleFunction.php?VEHICLE_ID=1' 2>&1 | grep 'MySQL error'disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
Dado que nenhuma correção oficial (patch) foi fornecida para CVE-2026-6166, medidas de mitigação imediatas são fortemente recomendadas. Estas incluem validação e higienização rigorosas de todas as entradas do usuário, particularmente o parâmetro VEHICLE_ID. A utilização de consultas parametrizadas ou procedimentos armazenados pode ajudar a prevenir a injeção SQL. Além disso, é aconselhável limitar o acesso ao banco de dados apenas a contas necessárias e aplicar o princípio do menor privilégio. O monitoramento ativo dos logs do sistema em busca de atividades suspeitas é crucial. Considere isolar o sistema afetado até que uma solução adequada possa ser aplicada. Recomenda-se fortemente entrar em contato com o fornecedor do sistema para solicitar uma atualização de segurança.
Atualize o sistema Vehicle Showroom Management System para a última versão disponível para mitigar a vulnerabilidade de injeção SQL. Revise e sanitize a entrada VEHICLE_ID no arquivo /util/UpdateVehicleFunction.php para prevenir a execução de código malicioso. Implemente validação e escape adequados para as entradas do usuário.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6166 is a SQL Injection vulnerability affecting versions 1.0.0–1.0 of Vehicle Showroom Management System, allowing attackers to inject malicious SQL code and potentially access sensitive data.
If you are using Vehicle Showroom Management System version 1.0.0–1.0 and have not upgraded, you are potentially vulnerable to this SQL Injection attack.
Upgrade to a patched version of Vehicle Showroom Management System. As a temporary workaround, implement strict input validation and consider using parameterized queries or a WAF.
Due to the public disclosure of the exploit, CVE-2026-6166 is likely being actively exploited, making immediate mitigation crucial.
Refer to the code-projects website or relevant security mailing lists for the official advisory regarding CVE-2026-6166.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.