Plataforma
php
Componente
faculty-management-system
Corrigido em
1.0.1
CVE-2026-6167 describes a SQL Injection vulnerability discovered in the Faculty Management System. This flaw allows attackers to inject malicious SQL code, potentially leading to unauthorized data access and modification. The vulnerability affects versions 1.0.0 through 1.0 and is exploitable remotely. A patch is anticipated, and temporary mitigations are available.
Uma vulnerabilidade de injeção SQL foi detectada no sistema de gerenciamento de professores 'code-projects Faculty Management System' versão 1.0. A vulnerabilidade reside em uma função desconhecida no arquivo /subject-print.php e é acionada pela manipulação do argumento 'ID'. Um atacante remoto pode explorar essa fraqueza para injetar código SQL malicioso no banco de dados, comprometendo potencialmente a confidencialidade, integridade e disponibilidade dos dados armazenados. A exploração bem-sucedida pode permitir que um atacante acesse, modifique ou exclua informações confidenciais, como dados de professores, alunos, cursos e notas. A gravidade da vulnerabilidade é classificada como 7.3 na escala CVSS, indicando um risco significativo. Abordar essa vulnerabilidade é crucial para proteger informações confidenciais e evitar incidentes de segurança potenciais.
A vulnerabilidade de injeção SQL no 'code-projects Faculty Management System' versão 1.0 pode ser explorada remotamente manipulando o argumento 'ID' no arquivo /subject-print.php. O exploit agora está publicamente disponível, o que significa que os atacantes podem acessar as ferramentas e técnicas necessárias para explorar a vulnerabilidade. Isso aumenta significativamente o risco de ataques direcionados. A falta de uma correção oficial agrava ainda mais a situação, pois o sistema permanece vulnerável até que medidas de mitigação sejam implementadas. Administradores de sistema são aconselhados a agir prontamente para proteger seus sistemas e dados.
Educational institutions and organizations utilizing the Faculty Management System, particularly those running versions 1.0.0 through 1.0, are at significant risk. Shared hosting environments where multiple users share the same database are especially vulnerable, as a compromise of one user's account could lead to a wider breach.
• php: Examine web server access logs for requests to /subject-print.php with unusual or malformed ID parameters (e.g., containing single quotes, double quotes, semicolons, or SQL keywords).
• generic web: Use curl to test the /subject-print.php endpoint with various SQL injection payloads (e.g., curl 'http://example.com/subject-print.php?id=1' UNION SELECT 1,2,3 -- -).
• generic web: Check response headers for SQL errors or unusual behavior that might indicate a successful injection.
• php: Review the source code of /subject-print.php for vulnerable SQL queries and lack of input sanitization.
disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
Atualmente, nenhuma correção oficial foi fornecida pelos desenvolvedores do 'code-projects Faculty Management System' para essa vulnerabilidade. No entanto, medidas de mitigação imediatas são fortemente recomendadas para reduzir o risco de exploração. Essas medidas incluem a implementação de validação e sanitização rigorosas de todas as entradas do usuário, especialmente o parâmetro 'ID' em /subject-print.php. O uso de prepared statements ou stored procedures é uma prática recomendada para evitar a injeção SQL. Além disso, é sugerido restringir o acesso a /subject-print.php a usuários autorizados e monitorar o sistema em busca de atividades suspeitas. Dado que o exploit está publicamente disponível, a aplicação dessas medidas é essencial para proteger o sistema.
Actualice el sistema Faculty Management System a una versión corregida. Verifique y sanee todas las entradas de usuario, especialmente el parámetro ID, antes de utilizarlas en consultas SQL para prevenir inyecciones SQL. Implemente una validación de entrada robusta y utilice consultas preparadas o procedimientos almacenados para mitigar el riesgo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção SQL é um ataque de segurança que permite que atacantes injetem código SQL malicioso em um aplicativo para acessar ou manipular o banco de dados.
Se você estiver usando 'code-projects Faculty Management System' versão 1.0, provavelmente é vulnerável. Monitore os logs do sistema em busca de atividades suspeitas.
Isole o sistema afetado da rede, altere todas as senhas dos usuários e realize uma auditoria de segurança abrangente.
Pesquise outras soluções de gerenciamento de professores com um histórico comprovado de segurança e atualizações regulares.
Você pode encontrar mais informações sobre injeção SQL em sites de segurança como OWASP (Open Web Application Security Project).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.