平台
php
组件
phpgurukul-online-shopping-portal-project
修复版本
2.1.1
CVE-2026-5552是一个SQL注入漏洞,存在于PHPGurukul Online Shopping Portal Project 2.1中。攻击者可以通过操纵pid参数,在/sub-category.php文件中的参数处理功能中注入恶意SQL代码,从而可能导致数据泄露或系统损坏。该漏洞影响版本2.1,目前尚未发布官方补丁。
在PHPGurukul Online Shopping Portal Project 2.1中,已在/sub-category.php文件和Parameter Handler组件中发现SQL注入漏洞。该漏洞源于对'pid'参数不当处理,允许恶意SQL代码注入。远程利用是可能的,这意味着攻击者可以从任何具有网络访问权限的位置利用此弱点。该漏洞的CVSS评分为6.3,表明存在中等风险。利用成功可能使攻击者能够访问、修改或删除数据库中的敏感数据,从而损害系统的完整性和保密性。漏洞利用代码的公开可用性大大增加了攻击的风险。
该漏洞位于/sub-category.php文件中,特别是'pid'参数的处理中。攻击者可以操纵此参数以注入恶意SQL代码。利用是远程的,允许攻击者从任何具有网络访问权限的位置利用该漏洞。漏洞利用代码的公开可用性降低了不同技能水平的攻击者的入门门槛。潜在影响包括数据丢失、数据修改和拒绝服务。缺乏官方补丁强调了实施缓解措施的紧迫性。
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
CVSS 向量
目前,PHPGurukul尚未为此漏洞提供官方修复程序。最直接的缓解措施是如果存在,则升级到Online Shopping Portal Project的较新版本。在此期间,强烈建议严格验证和清理输入,尤其是'pid'参数。使用预处理语句或存储过程可以帮助防止SQL注入。积极监控服务器日志以查找可疑活动也很重要。考虑实施Web应用程序防火墙(WAF)以过滤恶意流量。
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /sub-category.php. Revise y sanee el código para evitar futuras inyecciones SQL, utilizando consultas preparadas o funciones de escape adecuadas.
漏洞分析和关键警报直接发送到您的邮箱。
SQL注入是一种技术,攻击者通过在数据库查询中插入恶意SQL代码,从而可能访问、修改或删除敏感数据。
CVSS(通用漏洞评分系统)是评估安全漏洞严重程度的标准。6.3的评分表明存在中等风险。
实施推荐的缓解措施,例如输入验证和日志监控。查找项目更新,并在可能时升级到最新版本。
有几种漏洞扫描工具可以帮助检测SQL注入。流行的选项包括OWASP ZAP和SQLMap。
您可以在OWASP(开放Web应用程序安全项目)网站上找到有关SQL注入的更多信息:https://owasp.org/www-project-top-ten/。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。