平台
php
组件
car-rental-project
修复版本
1.0.1
CVE-2026-5634是一个SQL注入漏洞,存在于projectworlds Car Rental Project的1.0.0–1.0版本中。该漏洞影响到Parameter Handler组件的/book_car.php文件,攻击者可以通过修改fname参数来注入恶意SQL代码。由于漏洞利用代码已公开,可能导致敏感数据泄露或系统被破坏。目前尚未发布官方补丁。
在Car Rental Project 1.0中,已在/book_car.php文件中识别出SQL注入漏洞。此漏洞影响Parameter Handler组件,允许攻击者操纵'fname'参数以执行恶意SQL代码。CVSS评分达到7.3,表明这是一个高危漏洞。攻击可以远程发起,攻击者无需对系统进行物理访问。公开可用的漏洞利用程序加剧了情况,增加了攻击风险。SQL注入可能使攻击者能够访问、修改或删除敏感的数据库数据,从而损害客户和企业信息的机密性和完整性。
此漏洞位于Parameter Handler组件中的/book_car.php文件中。攻击者可以通过发送操纵'fname'参数并包含注入SQL代码的恶意请求来利用此漏洞。此漏洞的远程性质意味着攻击者可以从任何具有应用程序运行网络的访问位置发起攻击。公开可用的漏洞利用程序便于具有不同技术水平的攻击者利用。潜在影响包括敏感数据泄露、数据库修改以及潜在的系统接管。
Car rental businesses and organizations utilizing the Car Rental Project software, particularly those hosting their applications on shared hosting environments or without robust input validation measures, are at significant risk. Legacy configurations and deployments that haven't been regularly updated are also vulnerable.
• php / web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; DROP TABLE users;--" | grep "error"• generic web:
curl -s -X POST "http://your-target-domain/book_car.php" -d "fname='; SELECT version();--" | grep "MySQL"disclosure
poc
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
目前尚未提供此漏洞的官方修复程序。即时缓解措施需要实施额外的安全措施来保护应用程序。强烈建议在将用户输入(尤其是'fname'参数)用于SQL查询之前对其进行验证和清理。使用预处理语句或存储过程是防止SQL注入的安全实践。此外,应将数据库访问限制为仅必要的用户和应用程序,并监控数据库活动是否存在可疑模式。建议联系项目开发人员以获取更新并密切关注任何安全公告。
Actualice el proyecto Car Rental Project a una versión corregida. Verifique las fuentes oficiales del proyecto para obtener instrucciones específicas de actualización y parches de seguridad. Implemente medidas de seguridad adicionales, como la validación y el saneamiento de entradas, para mitigar el riesgo de futuras inyecciones SQL.
漏洞分析和关键警报直接发送到您的邮箱。
SQL注入是一种攻击技术,允许攻击者将恶意SQL代码插入到数据库查询中,从而可能损害应用程序的安全性。
CVSS 7.3是严重程度评分,表明该漏洞的严重程度很高,并且对安全构成重大风险。
验证和清理所有用户输入,使用预处理语句,限制数据库访问,并监控数据库活动。
目前没有官方的修复程序。在发布更新之前,实施推荐的缓解措施。
联系Car Rental Project的开发人员以获取更多信息和安全更新。
CVSS 向量