平台
php
组件
phpgurukul-user-registration-login-and-user-management-system
修复版本
3.3.1
CVE-2026-5543 是 PHPGurukul User Registration & Login and User Management System 3.3 中的一个安全漏洞,它允许攻击者通过 SQL 注入攻击来访问或修改数据库中的数据。这种攻击可能导致敏感信息泄露或系统损坏。该漏洞影响 PHPGurukul User Registration & Login and User Management System 3.3 版本,漏洞已公开,目前尚无官方补丁。
在PHPGurukul User Registration & Login and User Management System 3.3版本中,发现了一个SQL注入漏洞。受影响的元素是文件/admin/yesterday-reg-users.php中的一个未知函数。通过操纵'ID'参数,攻击者可以注入恶意SQL代码,从而可能破坏数据库。由于允许远程利用并且存在公开的利用程序,因此风险很高。攻击者可能能够访问敏感信息、修改数据,甚至控制系统。CVSS评分达到6.3,表明风险处于中高水平,需要立即关注。
该漏洞位于/admin/yesterday-reg-users.php文件中,具体位于一个处理'ID'参数的未知函数中。攻击者可以通过操纵此参数来注入SQL代码。公开利用程序的可用性简化了利用过程,增加了攻击的风险。远程利用意味着攻击者无需物理访问服务器即可利用该漏洞。缺乏官方修复加剧了形势,要求用户采取积极措施来保护其系统。用户管理系统是一个关键组件,因此该漏洞可能会对数据的机密性、完整性和可用性产生重大影响。
Organizations using PHPGurukul User Registration & Login and User Management System version 3.3, particularly those with publicly accessible administration interfaces or inadequate input validation, are at significant risk. Shared hosting environments where multiple users share the same database instance are also particularly vulnerable.
• php: Examine web server access logs for requests to /admin/yesterday-reg-users.php with unusual or malformed 'ID' parameters. Look for SQL error messages in the application logs.
• generic web: Use curl to test the endpoint with various SQL injection payloads (e.g., curl 'http://example.com/admin/yesterday-reg-users.php?ID=1' UNION SELECT 1,2,3 -- -).
• database (mysql): If database access is possible, check for unusual database activity or unauthorized data modifications using MySQL's audit logs or query monitoring tools.
disclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
目前,PHPGurukul尚未为此漏洞提供官方修复程序。立即的缓解措施是暂时禁用/admin/yesterday-reg-users.php文件,直到发布更新。强烈建议对代码进行彻底的安全审计,以识别和修复SQL注入漏洞。实施额外的安全措施,例如验证和清理所有用户输入,对于防止未来攻击至关重要。积极监控系统日志以查找可疑活动也有助于检测和响应潜在的利用尝试。考虑使用Web应用程序防火墙(WAF)来过滤恶意流量。
Actualice el sistema PHPGurukul User Registration & Login and User Management System a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como explotación pública está disponible, se recomienda aplicar la corrección lo antes posible.
漏洞分析和关键警报直接发送到您的邮箱。
SQL注入是一种攻击技术,允许攻击者将恶意SQL代码注入到数据库查询中,从而破坏系统安全。
监控系统日志,查找未经授权的访问尝试或意外的数据修改等异常活动。
将系统从网络断开,更改所有密码,并联系安全专业人员进行评估和修复。
有几种漏洞扫描工具可以帮助识别SQL注入漏洞。进行渗透测试也是一种很好的做法。
目前尚无官方修复的预计发布日期。请监控PHPGurukul网站和安全论坛以获取更新。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。