平台
php
组件
code-projects-online-application-system-for-admission
修复版本
1.0.1
CVE-2026-5649 是在线入学申请系统 (Online Application System for Admission) 中的一个安全漏洞,具体位于组件 Endpoint 的 /enrollment/admsnform.php 文件处理逻辑中存在缺陷。攻击者可以通过构造恶意的输入,利用此漏洞进行SQL注入攻击,可能导致敏感数据泄露或系统被篡改。该漏洞影响版本 1.0.0–1.0,目前尚未发布官方补丁,建议用户采取缓解措施。
code-projects 在线入学申请系统 1.0 版本中发现了一个 SQL 注入漏洞,被标记为 CVE-2026-5649。此漏洞影响 Endpoint 组件中 /enrollment/admsnform.php 文件的处理。远程攻击者可以通过操纵输入来利用此漏洞,从而可能导致未经授权的数据库访问、数据修改,甚至在服务器上执行命令。根据 CVSS,此漏洞的严重程度评分为 6.3。漏洞利用程序的公开披露表明存在高概率被利用,并对使用此系统的组织构成重大风险。缺乏修复进一步加剧了情况,需要立即采取缓解措施。
漏洞 CVE-2026-5649 位于 code-projects 在线入学申请系统 1.0 版本的 Endpoint 组件的 /enrollment/admsnform.php 文件中。它代表了一个可以通过远程方式利用的 SQL 注入漏洞。攻击者可以通过用户输入注入恶意 SQL 代码,从而实现未经授权的数据库访问。漏洞利用程序的公开披露表明攻击者已经具备利用此漏洞的能力。缺乏补丁增加了被利用的风险。系统容易受到旨在获取机密信息、修改数据或甚至控制服务器的攻击。
Educational institutions and organizations utilizing the Online Application System for Admission for student enrollment are at risk. Specifically, deployments with weak database security configurations or those lacking robust input validation practices are particularly vulnerable. Shared hosting environments where multiple applications share the same database are also at increased risk.
• php / web:
curl -s -X POST -d "admsnform.php?param='; DROP TABLE users;--" http://your-target-host/enrollment/ | grep -i "error"• generic web:
curl -I http://your-target-host/enrollment/admsnform.php?param='; SELECT version(); --disclosure
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
CVSS 向量
鉴于 CVE-2026-5649 没有官方修复程序,使用 code-projects 在线入学申请系统 1.0 版本的组织应立即实施缓解措施。这些措施包括,但不限于,暂时禁用系统、部署 Web 应用程序防火墙 (WAF) 以过滤恶意请求,以及彻底审查源代码以识别和修复 SQL 注入漏洞。强烈建议联系软件供应商以获取安全更新。此外,持续监控系统是否存在可疑活动以及加强现有安全措施(例如密码策略和多因素身份验证)至关重要。
Actualice el módulo a la última versión disponible o aplique parches de seguridad para mitigar la vulnerabilidad de inyección SQL. Revise y sanee las entradas del usuario en el archivo /enrollment/admsnform.php para prevenir la ejecución de consultas SQL maliciosas. Implemente validación y escape de datos para proteger contra futuras inyecciones SQL.
漏洞分析和关键警报直接发送到您的邮箱。
SQL 注入是一种攻击技术,允许攻击者将恶意 SQL 代码注入到应用程序中,以访问或操纵数据库。
攻击者可能能够访问、修改或删除存储在系统数据库中的敏感数据。
暂时禁用系统、部署 WAF、审查代码并联系供应商以获取修复程序。
目前,此漏洞没有官方修复程序可用。
实施安全的编码实践、使用输入验证并保持软件更新。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。