平台
php
组件
phpgurukul-online-shopping-portal-project
修复版本
2.1.1
CVE-2026-5635 represents a SQL Injection vulnerability identified within the PHPGurukul Online Shopping Portal Project, specifically impacting version 2.1. This flaw allows attackers to inject malicious SQL code through the manipulation of the 'cid' parameter within the /categorywise-products.php file, potentially enabling unauthorized data access or modification. The vulnerability is remotely exploitable and an exploit is publicly available, increasing the risk of active attacks.
在PHPGurukul Online Shopping Portal Project 2.1中发现了一个SQL注入漏洞。该漏洞存在于/categorywise-products.php文件中的Parameter Handler组件中,原因是cid参数处理不当。这使得远程攻击者能够执行任意SQL查询,可能导致数据泄露、修改或删除。用户数据、产品详情和订单历史等敏感信息可能会被泄露。该漏洞在CVSS量表上评分为6.3。攻击成功可能会严重损害系统的完整性和保密性,损害客户信任和企业声誉。
该漏洞已被公开披露,这意味着攻击者已经知道如何利用它。这大大增加了针对运行Online Shopping Portal Project漏洞版本的系统的定向攻击的风险。该漏洞的远程性质意味着攻击者可以从任何具有互联网访问的地点利用它。强烈建议立即采取行动以降低风险,因为实际利用很可能发生。缺乏官方补丁使情况更加恶化,使得手动缓解更加关键。
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
CVSS 向量
目前,PHPGurukul尚未发布此漏洞的官方修复程序。最直接有效的缓解措施是在/categorywise-products.php中暂时禁用受影响的功能,直到可用更新。强烈建议进行彻底的代码审计,以识别和解决任何其他潜在的SQL注入漏洞。对所有用户输入(尤其是用于SQL查询的输入)进行稳健的验证和清理至关重要。考虑使用预处理语句或存储过程来防止SQL注入。积极监控服务器日志以查找可疑活动。
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee todas las entradas del usuario, especialmente el parámetro 'cid', para prevenir inyecciones SQL. Implemente consultas parametrizadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
漏洞分析和关键警报直接发送到您的邮箱。
SQL注入是一种安全漏洞,允许攻击者将恶意SQL代码注入到SQL查询中,从而可能获得未经授权的数据访问或修改数据库。
对您的网站进行安全审计,特别注意/categorywise-products.php文件以及如何处理输入参数。使用漏洞扫描工具来识别潜在问题。
立即将受影响的系统从网络隔离。进行法医调查以确定入侵的范围。从干净的备份中恢复数据。实施额外的安全措施以防止未来的攻击。
有几种漏洞扫描工具和静态代码分析工具可以帮助识别和修复SQL注入漏洞。您还可以考虑使用Web应用程序防火墙(WAF)。
您可以在安全漏洞数据库中找到有关CVE-2026-5635的更多信息,例如NIST的National Vulnerability Database(NVD)。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。