平台
php
组件
leave-application-system
修复版本
1.0.1
CVE-2026-5326 是 SourceCodester 请假系统 1.0 版本中发现的一个授权绕过漏洞。该漏洞允许未经授权的攻击者通过操纵 /index.php?page=manage_user 文件的 ID 参数,绕过系统权限验证,从而访问或修改受保护的资源。成功利用此漏洞可能导致敏感信息泄露或系统配置更改。该漏洞影响 1.0 至 1.0 版本的请假系统。目前尚无官方补丁修复此漏洞。
SourceCodester Leave Application System 1.0 版本中发现了一个授权绕过漏洞 (CVE-2026-5326)。此漏洞影响文件 /index.php?page=manage_user 中的未知函数,特别是 'User Information Handler' 组件。攻击者可以通过操纵 'ID' 参数来绕过访问控制,从而可能获得对敏感信息的未经授权的访问,或代表其他用户执行操作。该漏洞的严重程度在 CVSS 规模上评为 5.3。攻击可以远程执行,这意味着攻击者可以从任何具有网络访问权限的位置利用该漏洞。公开可用的漏洞利用加剧了风险,因为它使得恶意行为者更容易利用该漏洞。
该漏洞在于文件 /index.php?page=manage_user 中 'User Information Handler' 组件对 'ID' 参数的处理。攻击者可以构造恶意的请求,修改 'ID' 参数的值,从而访问他们通常没有访问权限的信息或功能。攻击的远程性质意味着攻击者不必位于易受攻击服务器的同一网络中。公开可用的漏洞利用大大简化了漏洞利用过程,从而增加了攻击的风险。建议对源代码进行彻底的安全审计,以识别和修复其他潜在的漏洞。
Organizations utilizing SourceCodester Leave Application System version 1.0, particularly those deploying it on shared hosting environments or without robust access controls, are at significant risk. Companies handling sensitive employee data, such as HR departments and payroll systems, should prioritize remediation.
• php / server:
grep -r "index.php?page=manage_user" /var/www/html/• php / server:
auditd -l | grep manage_user• generic web:
curl -I https://your-domain.com/index.php?page=manage_userdisclosure
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
CVSS 向量
目前,SourceCodester 尚未为 CVE-2026-5326 提供官方修复程序 (fix)。最有效的即时缓解措施是,一旦可用,升级到 Leave Application System 的最新版本。同时,建议实施额外的安全措施,例如仅将应用程序访问限制为授权用户、监控系统活动以寻找漏洞利用迹象,以及部署 Web 应用程序防火墙 (WAF) 以过滤恶意流量。及时了解 SourceCodester 的任何安全公告并应用可用更新至关重要。缺乏官方修复程序需要采取积极的安全态势。
Actualizar a una versión parcheada o implementar controles de acceso adecuados para restringir el acceso no autorizado a la información del usuario. Validar y sanitizar las entradas del usuario para prevenir la manipulación de parámetros.
漏洞分析和关键警报直接发送到您的邮箱。
这意味着攻击者可以绕过安全控制,并访问他们不应该访问的资源或功能。
这是一个用于跟踪和在安全报告中引用此特定漏洞的唯一标识符。
实施额外的安全措施,例如限制访问、监控活动并考虑使用 WAF。
是的,有一个公开可用的漏洞利用,这增加了漏洞被利用的风险。
随时了解 SourceCodester 的安全公告,并查阅 National Vulnerability Database (NVD) 等漏洞数据库。