HIGHCVE-2026-5035CVSS 7.3

CVE-2026-5035 Accounting System SQL注入漏洞 (影响1.0)

平台

php

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

CVE-2026-5035 描述了 Accounting System 1.0 中的一个 SQL 注入漏洞，该漏洞允许攻击者通过注入恶意 SQL 代码来操纵数据库。攻击者可以通过操纵 en_id 参数来利用此漏洞。漏洞影响版本为 1.0。由于没有官方补丁，用户应采取其他安全措施。

影响与攻击场景

在 code-projects 会计系统 1.0 版本中发现了一个 SQL 注入漏洞。该漏洞位于 'Parameter Handler' 组件的 /viewwork.php 文件中，特别是与 enid 参数相关。攻击者可以通过操纵此参数来执行恶意 SQL 查询，从而利用此漏洞。公开披露的漏洞显著增加了被利用的风险，因为攻击者可以利用现有信息来破坏易受攻击的系统。缺乏修复程序进一步加剧了情况，需要立即采取行动来减轻风险。潜在影响包括数据泄露、会计记录篡改和系统破坏。

利用背景

code-projects 会计系统 1.0 中的 SQL 注入漏洞是通过操纵 /viewwork.php 文件中的 enid 参数来利用的。该漏洞的远程性质允许攻击者在无需物理访问系统的情况下利用它。公开披露的漏洞便于利用，因为攻击者可以访问有关如何利用漏洞的详细信息。'Parameter Handler' 组件负责处理输入参数，并且 en_id 的不充分验证允许 SQL 代码注入。此漏洞特别危险，因为它可能允许攻击者访问、修改或删除敏感的数据库数据，从而损害会计系统的完整性和保密性。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告3 份威胁报告

NextGuard10–15% 仍然脆弱

EPSS

0.03% (8% 百分位)

CISA SSVC

利用情况poc

可自动化yes

受影响的软件

供应商code-projects

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-89 CWE-74

时间线

已保留2026-03-27
发布日期2026-03-29
修改日期2026-03-30
EPSS 更新日期2026-04-04

未修复 — 披露已56天

缓解措施和替代方案

鉴于 CVE-2026-5035 没有官方修复程序，使用 code-projects 会计系统 1.0 版本的组织应立即实施缓解措施。这些措施包括网络隔离以限制对数据库的访问、部署 Web 应用程序防火墙 (WAF) 以过滤恶意流量，以及彻底审查源代码以识别和修复漏洞。强烈建议定期进行安全审计并遵守“最小权限原则”。主动监控系统日志以检测可疑活动也很重要。如果可用，请考虑升级到更安全的系统版本，作为长期最有效的解决方案。

修复方法

将 Accounting System 更新到已修复 view_work.php 文件中 SQL 注入 (SQL Injection) 漏洞的补丁版本。如果没有可用的版本，建议实施额外的安全措施，例如验证和清理用户输入，特别是 en_id 参数，以防止 SQL 注入 (SQL Injection) 攻击。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5035 是什么 — Accounting System 中的 SQL Injection？

SQL 注入是一种安全漏洞，允许攻击者将恶意 SQL 代码插入到数据库查询中，从而可能导致未经授权的访问、修改或删除数据。

Accounting System 中的 CVE-2026-5035 是否会影响我？

这意味着有关如何利用漏洞的信息已公开，这增加了攻击者利用它的风险。

如何修复 Accounting System 中的 CVE-2026-5035？

立即实施缓解措施，例如网络隔离和源代码审查。主动监控系统日志以检测可疑活动。

CVE-2026-5035 是否正在被积极利用？

目前，CVE-2026-5035 没有官方修复程序可用。

在哪里可以找到 Accounting System 关于 CVE-2026-5035 的官方安全通告？

实施安全的开发实践，进行定期的安全审计，并遵守“最小权限原则”。