PHPGurukul 在线购物门户项目 Parameter update-image3.php SQL 注入漏洞

PHPGurukul Online Shopping Portal Project 2.1版本中发现了一个SQL注入漏洞（CVE-2026-5639）。此漏洞影响文件/admin/update-image3.php中一个未知的函数，特别是Parameter Handler组件。攻击者可以通过操纵'filename'参数来利用此缺陷，从而可能在门户数据库中执行恶意SQL代码。漏洞的严重程度在CVSS量表上评为6.3，表明存在中等风险。利用是远程的，这意味着攻击者可以从任何具有网络访问权限的位置利用此漏洞。发布有效的利用程序会大大增加攻击的风险。

Organizations and individuals using the PHPGurukul Online Shopping Portal Project version 2.1, particularly those hosting their own instances or using shared hosting environments, are at risk. Websites relying on this project for e-commerce functionality are especially vulnerable to data breaches and service disruption.

• php / server:

grep -r 'filename = $_POST['filename']' /var/www/html/admin/update-image3.php

• php / server:

journalctl -u php-fpm | grep 'SQL injection attempt'

• generic web:

curl -I <affected_url>/admin/update-image3.php?filename='; DROP TABLE users;--

1. 2026-04-06Disclosure

   disclosure

1. 已保留2026-04-05
2. 发布日期2026-04-06
3. 修改日期2026-04-07
4. EPSS 更新日期2026-04-13

目前，PHPGurukul尚未为此漏洞提供官方修复程序（fix）。最有效的即时缓解措施是，一旦可用，就升级到Online Shopping Portal Project的较新版本。同时，建议实施所有用户输入（尤其是与文件名相关的输入）的严格输入验证和清理。此外，将对/admin/update-image3.php管理面板的访问限制为授权用户，并监控系统活动以查找可疑模式，可以帮助降低风险。还可以考虑使用Web应用程序防火墙（WAF）来过滤恶意流量。