CVE-2026-5017 描述了 Simple Food Order System 1.0 中存在的 SQL 注入漏洞。该漏洞存在于 /all-tickets.php 文件的未知函数中,攻击者可以通过操作 Status 参数触发 SQL 注入。利用此漏洞可能导致数据泄露或篡改。由于厂商未响应,暂无修复方案。
在Simple Food Order System 1.0中发现了一个SQL注入漏洞。该漏洞位于文件/all-tickets.php中一个未知的函数中,特别是与'Status'参数的处理有关。攻击者可以通过操纵'Status'参数的值来注入恶意SQL查询到数据库中来利用此缺陷。该漏洞可以远程利用,并且已经公开了利用代码,从而大大增加了攻击的风险。利用成功可能会使攻击者能够访问、修改或删除数据库中的敏感数据,从而损害系统的完整性和保密性。缺乏提供的修复程序加剧了这种情况,需要立即采取行动以降低风险。
Simple Food Order System 1.0中的SQL注入漏洞位于文件/all-tickets.php中的'Status'参数内。攻击者可以通过发送修改'Status'参数值的恶意HTTP请求来利用此漏洞,从而插入SQL代码。然后,恶意SQL代码将在服务器上执行,从而使攻击者能够访问数据库。利用代码已公开,这意味着攻击者可以轻松地使用它来利用此漏洞。该漏洞的远程性质意味着它可以从具有网络访问权限的任何位置进行利用。缺乏可用的解决方案使利用风险更大。
Organizations and individuals using Simple Food Order System version 1.0 are at risk. This includes small businesses and restaurants that rely on this system for online food ordering and management. Shared hosting environments where multiple users share the same server are particularly vulnerable, as a compromise of one user's account could potentially lead to the compromise of the entire system.
• php / web:
grep -r "SELECT * FROM" /var/www/html/• php / web:
find /var/www/html/ -name "all-tickets.php"• generic web:
curl -I http://your-server/all-tickets.php?Status='; DROP TABLE users;--disclosure
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
虽然没有为CVE-2026-5017提供官方修复程序,但强烈建议立即采取预防措施。严格验证和清理所有用户输入,特别是/all-tickets.php中的'Status'参数。使用参数化查询或存储过程来防止SQL注入。考虑部署Web应用程序防火墙(WAF)以检测和阻止利用尝试。积极监控系统日志以查找可疑活动。定期进行安全审计以识别和修复潜在的漏洞。在发布官方解决方案之前,这些措施可以帮助降低利用风险。
将 Simple Food Order System 系统更新到已修复 SQL 注入 (SQL Injection) 漏洞的补丁版本。如果没有可用的版本,建议实施安全措施,以验证和清理 /all-tickets.php 文件中 'Status' 参数的用户输入,以防止 SQL 注入 (SQL Injection)。
漏洞分析和关键警报直接发送到您的邮箱。
SQL注入是一种攻击技术,允许攻击者操纵SQL查询以访问或修改数据库中的数据。
这意味着用于利用漏洞的代码可以在线获得,这使得攻击者更容易使用它。
立即停止使用该系统,并在发布官方解决方案之前采取建议的缓解措施。
目前没有官方修复程序。请关注开发者的更新。
实施安全的编码实践,例如输入验证、数据清理和使用参数化查询。
CVSS 向量