平台
php
组件
phpgurukul-online-shopping-portal-project
修复版本
2.1.1
CVE-2026-5636是一个SQL注入漏洞,影响PHPGurukul Online Shopping Portal Project。攻击者可以利用此漏洞通过操纵参数oid,向数据库注入恶意SQL代码,可能导致敏感信息泄露或数据库损坏。该漏洞影响版本2.1,目前尚未发布官方修复补丁,建议用户采取缓解措施。
在PHPGurukul Online Shopping Portal Project 2.1中发现了一个SQL注入漏洞。该漏洞位于Parameter Handler组件的/cancelorder.php文件中。攻击者可以通过操纵oid参数来注入恶意SQL代码,从而可能损害数据库的完整性和保密性。CVSS评分是6.3,表明存在中等风险。漏洞利用程序的公开可用性大大增加了被利用的风险。这可能使攻击者能够访问敏感信息、修改数据或甚至控制系统。
该漏洞在于/cancelorder.php中oid参数的处理方式。攻击者可以操纵此参数注入SQL代码,然后对数据库执行该代码。由于漏洞利用程序是远程的并且公开可用,因此存在攻击风险很大。攻击者可能会利用此漏洞来窃取客户信息、修改库存或中断网站运营。缺乏立即的修复需要迅速采取行动来减轻风险。
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
目前,PHPGurukul尚未发布针对此漏洞的官方修复程序。最直接有效的缓解措施是暂时通过/cancelorder.php文件禁用订单取消功能。强烈建议管理员在可用时升级到Online Shopping Portal Project的较新版本。实施安全的编码实践,例如使用参数化查询或存储过程,可以帮助防止未来的SQL注入漏洞。积极监控服务器日志以查找可疑活动也很重要。
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida que solucione la vulnerabilidad de inyección SQL en el archivo /cancelorder.php. Verifique y sanee las entradas del usuario, especialmente el argumento 'oid', para prevenir la ejecución de código SQL malicioso. Implemente consultas parametrizadas o procedimientos almacenados para mitigar el riesgo de inyección SQL.
漏洞分析和关键警报直接发送到您的邮箱。
CVSS评分6.3表明存在中等严重程度级别。这意味着如果该漏洞被利用,可能会产生重大影响,但并不被认为是关键的。
如果该功能至关重要,请实施额外的安全措施,例如Web应用程序防火墙(WAF)和入侵检测系统(IDS)。
使用参数化查询或存储过程,验证和转义所有用户输入,并保持软件更新。
有几种漏洞扫描工具可以帮助识别SQL注入漏洞,例如OWASP ZAP和Burp Suite。
您可以联系PHPGurukul的开发人员或在在线安全论坛上寻求帮助。
CVSS 向量