itsourcecode Free Hotel Reservation System Parameter login.php (sql injection)

在 itsourcecode Free Hotel Reservation System 1.0 中发现了一个 SQL 注入漏洞，具体位于 /hotel/admin/login.php 文件中。该漏洞被标记为 CVE-2026-5551，影响了 'Parameter Handler' 组件，允许攻击者操纵 'email' 参数来执行恶意 SQL 代码。根据 CVSS 评分，该漏洞的严重程度评为 7.3，表明存在重大风险。由于漏洞利用程序已公开，并且可以远程发起攻击，因此对该系统的用户构成严重威胁。SQL 注入可能允许攻击者访问、修改或删除数据库中的敏感数据，从而损害酒店预订系统的完整性和保密性。由于尚未提供官方修复程序，因此采取立即措施来减轻此风险至关重要。

Small to medium-sized hotels and businesses utilizing the itsourcecode Free Hotel Reservation System, particularly those running older, unpatched versions. Shared hosting environments where multiple customers share the same server infrastructure are also at increased risk, as a compromise of one customer could potentially lead to the compromise of others.

• php / web:

grep -r "email = '.*?'" /hotel/admin/login.php

• php / web:

curl -I http://your-hotel-system.com/hotel/admin/login.php?email='; DROP TABLE users;--

• generic web: Monitor access logs for unusual SQL query patterns or errors related to the database.

1. 2026-04-05Disclosure

   disclosure

1. 已保留2026-04-04
2. 发布日期2026-04-05
3. 修改日期2026-04-06
4. EPSS 更新日期2026-04-12

由于尚未发布 CVE-2026-5551 的官方修复程序，因此立即缓解措施侧重于预防措施。Free Hotel Reservation System 1.0 的管理员强烈建议暂时禁用对管理登录页面 (/hotel/admin/login.php) 的访问，直到实施解决方案。此外，审查和加强数据库安全策略至关重要，包括使用强大的密码和限制访问权限。实施 Web 应用程序防火墙 (WAF) 可以帮助过滤恶意流量并防止 SQL 注入攻击。持续监控系统日志以查找可疑活动对于检测和响应潜在的利用尝试至关重要。建议联系系统供应商以获取更新和安全补丁。