HIGHCVE-2026-5564CVSS 7.3

code-projects Simple Laundry System Parameter searchguest.php SQL 注入

平台

php

组件

simple-laundry-system

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5564是一个SQL注入漏洞，存在于Simple Laundry System组件的/searchguest.php文件中。攻击者可以通过操纵searchServiceId参数，利用此漏洞执行恶意SQL语句，可能导致敏感信息泄露或系统数据被篡改。该漏洞影响Simple Laundry System 1.0.0到1.0.0版本。目前尚无官方补丁。

影响与攻击场景

Simple Laundry System 1.0 中发现了一个 SQL 注入漏洞，具体位于 /searchguest.php 文件中。此漏洞存在于“Parameter Handler”组件中，并通过操纵“searchServiceId”参数来利用。远程攻击者可以利用此漏洞执行恶意 SQL 查询，从而可能损害数据库的机密性和完整性。根据 CVSS，此漏洞的严重程度为 7.3，表明存在高风险。漏洞利用程序的公开可用性加剧了情况，增加了攻击的可能性。由于没有官方的修复程序（fix），受影响的系统在实施手动更正或更新到安全版本之前，尤其容易受到攻击。如果利用成功，攻击者可能会访问敏感信息、修改数据或控制系统。

利用背景

CVE-2026-5564 漏洞位于 Simple Laundry System 1.0 中“Parameter Handler”组件的 /searchguest.php 文件中。由于输入验证不足，“searchServiceId”参数容易受到 SQL 注入攻击。攻击者可以通过操纵此参数构造恶意 SQL 查询，然后将其对数据库执行。利用的远程性质意味着攻击者无需物理访问系统即可利用此漏洞。漏洞利用程序的公开可用性使具有不同技术水平的攻击者更容易利用此漏洞。由于没有官方的修复程序，因此增加了漏洞被利用的风险，并需要立即采取缓解措施。

哪些人处于风险中翻译中…

Organizations utilizing Simple Laundry System in environments where user input is directly incorporated into database queries are at significant risk. Shared hosting environments where multiple users share the same database instance are particularly vulnerable, as a compromise of one user's account could lead to the compromise of the entire system. Legacy configurations without proper input validation are also at increased risk.

检测步骤翻译中…

• php: Examine access logs for requests to /searchguest.php containing unusual characters or patterns in the searchServiceId parameter.

 grep "searchServiceId=.*;(SELECT|UNION|INSERT|DELETE|DROP)" /var/log/apache2/access.log

• php: Search the /searchguest.php file for unsanitized use of the searchServiceId parameter in SQL queries.

 grep -r "searchServiceId" /var/www/html/simple_laundry_system/

• generic web: Use a vulnerability scanner to identify SQL Injection vulnerabilities in the /searchguest.php endpoint.

攻击时间线

2026-04-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (12% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件simple-laundry-system

供应商code-projects

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-89 CWE-74

时间线

已保留2026-04-04
发布日期2026-04-05
修改日期2026-04-06
EPSS 更新日期2026-04-12

未修复 — 披露已49天

缓解措施和替代方案

鉴于 CVE-2026-5564 没有官方的修复程序，立即缓解需要额外的安全措施。我们强烈建议在能够应用解决方案之前，将 Simple Laundry System 1.0 系统从网络上断开。实施具有严格规则的防火墙，以限制对 /searchguest.php 的访问，可以帮助减少攻击面。进行彻底的代码审计以识别和更正 SQL 注入漏洞至关重要。考虑实施输入验证和清理技术，以防止未来的 SQL 注入。监控系统日志中与漏洞相关的可疑活动。如果将来发布，则更新到软件的补丁版本是最终解决方案。

修复方法翻译中…

Actualice el sistema Simple Laundry System a una versión corregida.  Verifique las fuentes oficiales del proveedor para obtener instrucciones específicas de actualización o parche.  Implemente medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas del usuario, para prevenir futuras vulnerabilidades de inyección SQL.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5564 是什么 — Simple Laundry System 中的 SQL Injection？

SQL 注入是一种攻击技术，允许攻击者将恶意 SQL 代码插入数据库查询，从而损害安全性。

Simple Laundry System 中的 CVE-2026-5564 是否会影响我？

它允许对数据库进行未经授权的访问，可能导致数据丢失或修改。

如何修复 Simple Laundry System 中的 CVE-2026-5564？

将系统从网络上断开，并寻找解决方案或更新。实施诸如防火墙之类的额外安全措施。

CVE-2026-5564 是否正在被积极利用？

目前，此漏洞没有官方的修复程序。请监控软件供应商的更新。

在哪里可以找到 Simple Laundry System 关于 CVE-2026-5564 的官方安全通告？

实施输入验证和清理，使用参数化查询，并保持软件更新。