平台
php
组件
online-enrollment-system
修复版本
1.0.1
CVE-2026-5534 是其sourcecode Online Enrollment System 1.0 中的一个SQL注入漏洞,攻击者可以通过操纵USERID参数来执行恶意SQL语句。 这种漏洞可能导致敏感数据泄露或数据库损坏,对系统安全构成严重威胁。该漏洞影响 Online Enrollment System 的 1.0.0–1.0 版本。目前尚无官方补丁。
在 itsourcecode 在线注册系统 1.0 中发现了一个 SQL 注入漏洞 (CVE-2026-5534)。此漏洞位于文件 /sms/user/index.php?view=edit&id=10 中的 'Parameter Handler' 组件,特别是与 'USERID' 参数的操作有关。攻击者可以利用此漏洞注入恶意 SQL 代码,从而可能损害数据库的完整性和保密性。根据 CVSS 的评估,此漏洞的严重程度评分为 7.3,表明存在重大风险。漏洞利用代码的公开可用性进一步加剧了情况,因为它使恶意行为者更容易利用此漏洞。由于没有可用的修复程序(fix),受影响的系统在应用补丁之前将保持脆弱状态。
CVE-2026-5534 漏洞是通过操纵 URL /sms/user/index.php?view=edit&id=10 中的 'USERID' 参数来利用的。攻击者可以将恶意 SQL 代码注入到此参数中,然后该代码将在底层数据库中执行。这种漏洞的远程利用意味着攻击者不需要对系统进行物理访问即可利用此漏洞。漏洞利用代码的公开可用性大大简化了利用过程,从而增加了定向攻击的风险。在处理 'USERID' 参数时缺乏适当的身份验证或授权是此漏洞的根本原因。
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
CVSS 向量
鉴于 CVE-2026-5534 没有官方修复程序,建议使用 itsourcecode 在线注册系统 1.0 的系统管理员立即采取措施来降低风险。这包括但不限于将受影响的系统从网络隔离、实施防火墙以限制对 /sms/user/index.php 的访问,以及主动监控系统日志以查找可疑活动。如果可用,应考虑升级到更安全的系统版本,或实施额外的安全措施,例如入侵检测系统 (IDS) 和入侵防御系统 (IPS)。为了防止未来的 SQL 注入,彻底验证和清理所有用户输入至关重要。
Actualice el sistema Online Enrollment System a una versión corregida. Verifique y sanee las entradas del usuario en el archivo index.php para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
漏洞分析和关键警报直接发送到您的邮箱。
CVSS 7.3 表示存在严重程度高且存在被利用风险的漏洞。
目前,itsourcecode 没有提供官方的修复程序。
隔离系统、限制对易受攻击的 URL 的访问、监控日志并考虑额外的安全措施。
这是一种攻击技术,允许攻击者通过用户输入将恶意 SQL 代码注入到数据库中。
您可以在 NIST NVD 等漏洞数据库中找到更多信息。