HIGHCVE-2026-5575CVSS 7.3

SourceCodester/jkev Record Management System Login index.php SQL 注入漏洞

平台

php

组件

jkev

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5575是一个SQL注入漏洞，存在于SourceCodester/jkev Record Management System的1.0.0–1.0版本中。该漏洞影响Login组件的index.php文件中的未知功能，攻击者可以通过操纵Username参数来执行恶意SQL代码，可能导致敏感信息泄露或系统损坏。目前，该漏洞已公开，建议用户尽快采取缓解措施或等待官方补丁。

影响与攻击场景

在 SourceCodester/jkev Record Management System 1.0 版本中检测到 SQL 注入漏洞。此漏洞影响了登录组件中 index.php 文件中的未知功能。对 Username 参数的操作允许攻击者注入恶意 SQL 代码。由于利用可以远程执行，因此风险很高。漏洞的严重程度评分为 CVSS 7.3，表明风险较高。漏洞利用程序的公开披露增加了攻击的可能性，并迫切需要解决此漏洞。

利用背景

此 SQL 注入漏洞的利用程序已公开可用，这使得攻击者更容易利用它。漏洞位于登录组件的 index.php 文件中，特别是关于如何处理 Username 参数的方式。攻击者可以操纵此参数以注入可以由系统执行的恶意 SQL 代码。由于利用是远程的，因此攻击者无需访问服务器即可利用此漏洞。成功利用的潜在影响可能包括对敏感数据的未经授权访问、数据修改和系统受损。

哪些人处于风险中翻译中…

Organizations using the jkev Record Management System, particularly those hosting the application on shared hosting environments or without robust security controls, are at increased risk. Systems with default configurations or weak password policies are especially vulnerable.

检测步骤翻译中…

• php: Examine web server access logs for suspicious requests targeting index.php with unusual characters in the Username parameter. Use grep to search for patterns indicative of SQL injection attempts.

grep 'username=.*;' /var/log/apache2/access.log

• generic web: Use curl to test the login endpoint with various payloads designed to trigger SQL injection errors.

curl -X POST -d "username='; DROP TABLE users;--" http://your-record-management-system/index.php

• database (mysql): If database access is possible, check for unusual database activity or unauthorized table modifications using MySQL CLI.

mysql -u root -p -e "SHOW TABLES;"

攻击时间线

2026-04-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (11% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件jkev

供应商SourceCodester

影响范围修复版本

1.0 – 1.01.0.1

弱点分类 (CWE)

CWE-89 CWE-74

时间线

已保留2026-04-04
发布日期2026-04-05
修改日期2026-04-07
EPSS 更新日期2026-04-13

未修复 — 披露已49天

缓解措施和替代方案

目前，开发人员尚未为此漏洞提供官方修复程序。最有效的即时缓解措施是禁用或限制对 SourceCodester/jkev Record Management System 的访问，直到发布安全更新为止。强烈建议对源代码进行彻底的安全审计，以识别和修复 SQL 注入漏洞。实施额外的安全措施，例如验证和清理所有用户输入，可以帮助防止未来的 SQL 注入攻击。监控系统日志以查找可疑活动对于检测和响应潜在攻击也很重要。

修复方法翻译中…

Actualice el sistema Record Management System a una versión corregida.  Verifique la fuente oficial (SourceCodester) para obtener la última versión y las instrucciones de actualización.  Como explotación es pública, se recomienda aplicar la corrección lo antes posible.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5575 是什么 — Record Management System 中的 SQL Injection？

CVSS 7.3 是一个严重程度分数，表示高风险。这意味着漏洞相对容易被利用，并且可能对系统的机密性、完整性和可用性产生重大影响。

Record Management System 中的 CVE-2026-5575 是否会影响我？

如果您正在使用此版本的系统，请立即禁用它，直到发布修复程序。考虑迁移到更安全的替代方案。

如何修复 Record Management System 中的 CVE-2026-5575？

实施所有用户输入的验证和清理，使用参数化查询或存储过程，并应用最小权限原则。

CVE-2026-5575 是否正在被积极利用？

是的，有几种安全扫描工具可以帮助您检测代码中的 SQL 注入漏洞。

在哪里可以找到 Record Management System 关于 CVE-2026-5575 的官方安全通告？

KEV（知识环境漏洞）是一个漏洞分类系统。此漏洞没有关联的 KEV 意味着它尚未在该系统中正式分类。