itsourcecode 施工管理系统 Parameter borrowed_equip_report.php SQL 注入

在 itsourcecode Construction Management System 1.0 版本中发现了一个 SQL 注入漏洞。该漏洞被标记为 CVE-2026-5620，影响了 /borrowedequipreport.php 文件中一个未知的函数，特别是 Parameter Handler 组件。对 'Home' 参数的操纵允许攻击者注入恶意 SQL 代码。该漏洞在 CVSS 规模上评分为 6.3，表明存在中等风险。远程利用是可能的，这会大大增加使用此系统的组织的风险。公开披露的漏洞意味着已经有工具和技术可用于执行攻击，这需要立即采取行动。

Organizations utilizing itsourcecode Construction Management System versions 1.0.0–1.0, particularly those with publicly accessible instances, are at risk. Shared hosting environments where multiple users share the same database are especially vulnerable, as a compromise of one user's account could potentially expose data for other users.

• php: Examine web server access logs for requests to /borrowedequipreport.php with unusual or malformed parameters in the Home variable. Look for patterns indicative of SQL injection attempts (e.g., ' OR 1=1 --).

grep 'borrowed_equip_report.php.*Home=[^a-zA-Z0-9]' /var/log/apache2/access.log

1. 2026-04-06Disclosure

   disclosure

1. 已保留2026-04-05
2. 发布日期2026-04-06
3. EPSS 更新日期2026-04-13

目前，itsourcecode 尚未为其提供 CVE-2026-5620 的官方修复程序。立即的缓解措施包括隔离受影响的系统、限制网络访问以及积极监控日志以查找可疑活动。强烈建议直接联系 itsourcecode 以请求安全更新。同时，实施具有特定规则的 Web 应用程序防火墙 (WAF)，以防止 /borrowedequipreport.php 文件中的 SQL 注入，可以帮助降低风险。此外，审查和加强数据库安全策略对于限制成功利用的潜在影响至关重要。一旦可用，升级到系统的更安全版本是最终解决方案。