平台
php
组件
course-sel
修复版本
1.0.1
1.1.1
CVE-2026-5537 是 halex CourseSEL 在 1.0.0 到 1.1.0 版本中发现的 SQL 注入漏洞。攻击者可以通过远程利用 HTTP GET Parameter Handler 的 check_sel 函数进行攻击,可能导致数据库信息泄露或篡改。该漏洞已公开披露,存在被利用的风险。
在 halex CourseSEL 的 1.1.0 及更早版本中,发现了一个 SQL 注入漏洞。该漏洞存在于文件 Apps/Index/Controller/IndexController.class.php 中的 check_sel 函数中,由于 HTTP GET 请求中 seid 参数的操纵而导致。攻击者可以利用此漏洞在数据库上执行恶意 SQL 代码,从而可能导致敏感数据泄露、修改或删除。该漏洞的严重程度评分为 CVSS 6.3,表明存在中等风险。供应商对该公开漏洞的早期披露未予回应,加剧了这一情况,使用户面临重大风险。攻击成功可能导致存储在 CourseSEL 数据库中的数据的完整性和保密性受损。
该漏洞是通过操纵针对 Apps/Index/Controller/IndexController.class.php 中 check_sel 函数的 HTTP GET 请求中的 seid 参数来利用的。该漏洞利用程序的公开披露使其更容易被具有不同技术水平的攻击者使用。由于该漏洞是远程的,因此可以从任何具有互联网访问权限的位置进行利用。供应商的未回应表明软件维护和支持可能不足,从而增加了持续利用的风险。该漏洞对于使用 CourseSEL 管理学生或课程敏感信息的组织来说尤其令人担忧。
漏洞利用状态
EPSS
0.03% (8% 百分位)
CISA SSVC
由于供应商没有提供补丁,因此立即的缓解措施包括禁用或升级到修复此漏洞的 halex CourseSEL 的更新版本。如果无法升级,建议实施额外的安全措施,例如能够检测和阻止 SQL 注入尝试的 Web 应用程序防火墙 (WAF)。此外,严格验证和清理所有用户输入,尤其是 GET 参数,对于防止恶意代码注入至关重要。主动监控服务器日志以查找可疑的 SQL 注入模式也可以帮助检测和响应潜在攻击。考虑网络分段以限制潜在的安全漏洞的影响。
Actualice el módulo CourseSEL a una versión corregida que solucione la vulnerabilidad de inyección SQL en el parámetro seid. Contacte al proveedor para obtener información sobre las versiones corregidas, ya que no han respondido a las notificaciones de seguridad. Como medida preventiva, valide y escapa todas las entradas del usuario para evitar futuras inyecciones SQL.
漏洞分析和关键警报直接发送到您的邮箱。
SQL 注入是一种攻击技术,允许攻击者将恶意 SQL 代码注入到数据库查询中,从而可能损害应用程序的安全性。
攻击者可能能够访问、修改或删除存储在 CourseSEL 数据库中的敏感数据。
禁用或升级到 CourseSEL 的修复版本是最佳选择。如果无法做到这一点,请实施 WAF 和输入验证等额外的安全措施。
供应商的未回应令人担忧,并表明软件维护可能不足。
您可以在诸如国家漏洞数据库 (NVD) 之类的漏洞数据库中找到有关 CVE-2026-5537 的更多信息。
CVSS 向量