HIGHCVE-2026-5565CVSS 7.3

code-projects Simple Laundry System Parameter delmemberinfo.php SQL 注入

平台

php

组件

simple-laundry-system

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5565是一个SQL注入漏洞，存在于Simple Laundry System组件的1.0.0–1.0版本中。该漏洞允许攻击者通过操纵参数，在/delmemberinfo.php文件中执行恶意SQL代码，可能导致敏感信息泄露或系统数据被篡改。该漏洞已公开披露，影响远程用户，建议尽快采取缓解措施。

影响与攻击场景

Simple Laundry System 1.0 中发现了一个 SQL 注入漏洞，具体位于 Parameter Handler 组件的 /delmemberinfo.php 文件中。此漏洞允许攻击者操纵 'userid' 参数，在系统数据库上执行恶意 SQL 代码。该漏洞的严重程度评分为 CVSS 7.3，表明风险较高。远程利用是可能的，这意味着攻击者可以从任何具有 Web 应用程序访问权限的位置利用此漏洞。公开披露的利用增加了风险，因为它为攻击者提供了有关如何利用该漏洞的详细信息。SQL 注入可能导致数据丢失或修改、未经授权访问敏感信息，甚至完全控制服务器。

利用背景

该漏洞位于 /delmemberinfo.php 文件中，特别是关于如何处理 'userid' 参数。攻击者可以将恶意 SQL 代码注入到此参数中，然后该代码将在数据库上执行。公开披露的利用意味着攻击者可以访问有关如何利用该漏洞的详细信息，从而增加了攻击的风险。由于利用是远程的，因此攻击者无需访问服务器的物理访问权限即可利用此漏洞。目前，Simple Laundry System 1.0 是唯一已知的受影响产品。

哪些人处于风险中翻译中…

Organizations utilizing Simple Laundry System in environments with direct user input to database queries are at significant risk. Shared hosting environments where multiple users share the same database instance are particularly vulnerable, as a successful attack could impact all users on the server. Legacy configurations with outdated security practices and inadequate input validation are also at increased risk.

检测步骤翻译中…

• php: Examine access logs for requests to /delmemberinfo.php with unusual or malformed 'userid' parameters. Look for patterns indicative of SQL injection attempts (e.g., single quotes, double quotes, semicolons).

 grep -i "(select|union|insert|delete|drop)" /var/log/apache2/access.log | grep /delmemberinfo.php

• generic web: Use curl to test the /delmemberinfo.php endpoint with a simple SQL injection payload (e.g., userid=1' OR '1'='1).

curl -X POST -d "userid=1' OR '1'='1" http://your-simple-laundry-system/delmemberinfo.php

• generic web: Check response headers for unexpected errors or SQL-related messages that might indicate successful injection.

攻击时间线

2026-04-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.04% (12% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件simple-laundry-system

供应商code-projects

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-89 CWE-74

时间线

已保留2026-04-04
发布日期2026-04-05
修改日期2026-04-07
EPSS 更新日期2026-04-13

未修复 — 披露已49天

缓解措施和替代方案

Simple Laundry System 的开发人员目前尚未为此漏洞提供官方修复程序（fix）。最有效的即时缓解措施是暂时禁用 /delmemberinfo.php 中受影响的功能，直到发布更新。强烈建议实施额外的安全措施，例如严格验证和清理所有用户输入、使用预处理语句或存储过程以防止 SQL 注入，以及为数据库帐户应用最小权限原则。主动监控系统日志以查找可疑活动也有助于检测和响应潜在攻击。保持服务器软件和底层库更新对于减少攻击面至关重要。

修复方法翻译中…

Actualice el módulo Simple Laundry System a la última versión disponible para mitigar la vulnerabilidad de inyección SQL.  Revise y sanee la entrada del usuario en el archivo /delmemberinfo.php para prevenir la manipulación de la consulta SQL. Implemente validación y escape adecuados para la entrada del usuario.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5565 是什么 — Simple Laundry System 中的 SQL Injection？

SQL 注入是一种安全攻击，允许攻击者将恶意 SQL 代码插入到数据库查询中，从而可能导致未经授权的数据访问、数据修改或服务器控制。

Simple Laundry System 中的 CVE-2026-5565 是否会影响我？

禁用受影响的功能、验证和清理所有用户输入、使用预处理语句和应用最小权限原则是即时的缓解措施。

如何修复 Simple Laundry System 中的 CVE-2026-5565？

有几种安全分析工具可以帮助检测 SQL 注入漏洞，例如 Web 漏洞扫描器和静态代码分析工具。

CVE-2026-5565 是否正在被积极利用？

立即隔离受影响的系统、更改所有帐户密码、检查系统日志以查找可疑活动，并通知相关部门。

在哪里可以找到 Simple Laundry System 关于 CVE-2026-5565 的官方安全通告？

您可以在漏洞数据库（如国家漏洞数据库 (NVD)）和其他在线安全资源中找到有关 CVE-2026-5565 的更多信息。