平台
php
组件
phpgurukul-online-shopping-portal-project
修复版本
2.1.1
CVE-2026-5641 represents a SQL Injection vulnerability discovered in the PHPGurukul Online Shopping Portal Project. This flaw allows an attacker to inject malicious SQL code through the manipulation of the 'filename' parameter within the /admin/update-image1.php file, potentially compromising the database. The vulnerability affects version 2.1 of the project and has been publicly disclosed, increasing the risk of exploitation. Currently, no official patch is available to address this issue.
在PHPGurukul Online Shopping Portal Project 2.1版本中发现了一个SQL注入漏洞(CVE-2026-5641)。该漏洞存在于文件/admin/update-image1.php中一个未知的函数中,特别是与filename参数的处理有关。攻击者可以通过操纵此参数来执行恶意SQL查询,从而攻击数据库。根据CVSS评分,此漏洞的严重程度评为6.3,表明存在中等风险。漏洞利用被公开的事实大大提高了风险,因为它使得恶意行为者更容易识别和利用该漏洞。SQL注入可能允许攻击者访问、修改或删除敏感数据,从而损害系统的完整性和保密性。
CVE-2026-5641可以通过/admin/update-image1.php文件远程利用。攻击者可以发送带有操纵的filename参数的恶意HTTP请求,其中包含SQL代码。此SQL代码将被注入到数据库查询中,从而使攻击者能够在数据库上执行任意命令。漏洞利用被公开的事实意味着攻击者可以相对容易地利用该漏洞所需的工具和技术。这增加了针对运行Online Shopping Portal Project 漏洞版本的系统的定向攻击的风险。建议进行彻底的安全审计,以识别和修复任何其他潜在的漏洞。
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
PHPGurukul尚未发布此漏洞的官方修复程序。最有效的即时缓解措施是升级到Online Shopping Portal Project的更安全版本,如果可用。同时,强烈建议实施对所有用户输入进行严格的验证和清理,尤其是文件名。避免将用户输入直接连接到SQL查询,而是使用参数化查询或存储过程,可以帮助防止SQL注入。此外,限制对/admin/update-image1.php文件的访问权限,仅允许授权用户访问,并监控系统是否存在可疑活动,都是建议的做法。积极监控项目页面,以获取任何补丁或更新公告。
Actualice el proyecto PHPGurukul Online Shopping Portal Project a una versión corregida. Verifique y sanee todas las entradas de usuario, especialmente el parámetro 'filename', para prevenir la inyección SQL. Implemente validación y escape adecuados en las consultas SQL.
漏洞分析和关键警报直接发送到您的邮箱。
SQL注入是一种安全漏洞,允许攻击者将恶意SQL代码注入到数据库查询中,从而损害数据的完整性和保密性。
如果您正在使用Online Shopping Portal Project的2.1版本,则很可能容易受到攻击。进行渗透测试或使用漏洞扫描工具来确认。
实施缓解措施,例如输入验证、参数化查询和对漏洞文件的访问限制。
有几种漏洞扫描工具可以检测SQL注入。请参阅开源或商业Web安全工具。
您可以在漏洞数据库(如国家漏洞数据库(NVD))和其他安全资源中找到有关此漏洞的更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。