平台
php
组件
itsourcecode-construction-management-system
修复版本
1.0.1
CVE-2026-5660是一个SQL注入漏洞,存在于itsourcecode Construction Management System的1.0.0–1.0版本中。该漏洞允许攻击者通过操纵参数,未经授权访问或修改数据库中的数据,可能导致敏感信息泄露或系统损坏。该漏洞影响itsourcecode Construction Management System 1.0.0–1.0版本,攻击者可以远程发起攻击。目前尚未发布官方补丁。
在 itsourcecode Construction Management System 1.0 版本中发现了一个 SQL 注入漏洞。该漏洞位于 /borrowed_equip.php 文件中的一个未知函数中,特别是“Parameter Handler”组件内。攻击者可以通过操纵“emp”参数来注入恶意 SQL 代码来利用此漏洞。该漏洞的严重程度评分为 CVSS 6.3,表明存在中等风险。允许远程利用,这意味着攻击者可以从任何具有网络访问权限的位置利用该漏洞。漏洞的公开披露增加了被利用的风险,因为攻击者现在了解该漏洞并可以开发利用程序。
/borrowed_equip.php 中的 SQL 注入漏洞允许远程攻击者操纵底层 SQL 查询。通过“emp”参数注入恶意 SQL 代码,攻击者可能能够访问、修改或删除存储在数据库中的敏感数据。这可能包括客户信息、财务数据或建筑项目详细信息。漏洞的公开披露意味着攻击者可以访问有关如何利用该漏洞的信息,从而增加了攻击成功的可能性。缺乏可用的修复进一步恶化了情况,使用户容易受到利用。
Construction companies and businesses utilizing the itsourcecode Construction Management System, particularly those with publicly accessible instances or weak security configurations, are at significant risk. Organizations relying on this system for managing project data and financial information are especially vulnerable to data breaches and operational disruptions.
• php: Examine the /borrowedequip.php file for unsanitized use of the 'emp' parameter in SQL queries. Search for patterns like mysqliquery or PDO::query where user input is directly concatenated into the query string.
// Example of vulnerable code
$emp = $_GET['emp'];
$sql = "SELECT * FROM users WHERE username = '$emp';";
mysqli_query($conn, $sql);• generic web: Monitor access logs for requests to /borrowed_equip.php with unusual or malicious-looking values in the 'emp' parameter (e.g., containing single quotes, semicolons, or SQL keywords). • generic web: Use a WAF to detect and block SQL injection attempts targeting the /borrowed_equip.php endpoint. Configure rules to identify common SQL injection patterns and payloads.
disclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
目前,itsourcecode 开发人员尚未为此漏洞提供官方修复程序。强烈建议 itsourcecode Construction Management System 1.0 的用户立即采取措施来降低风险。这包括,但不限于,对网络进行分段以限制对系统的访问,实施防火墙和入侵检测系统,以及主动监控系统日志以查找可疑活动。还强烈建议尽快联系供应商以请求安全更新。在发布补丁之前,应将应用程序视为不安全。
Actualice el sistema de gestión de la construcción itsourcecode a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como medida de seguridad adicional, implemente una validación y saneamiento de entrada robustos para prevenir futuras inyecciones SQL.
漏洞分析和关键警报直接发送到您的邮箱。
SQL 注入是一种安全攻击,允许攻击者干扰发送到数据库的查询。他们可以使用它来访问敏感信息、修改数据或在服务器上执行命令。
CVSS(通用漏洞评分系统)是评估安全漏洞严重程度的标准。6.3 的分数表示中等风险。
您应该立即采取措施来降低风险,例如对网络进行分段、实施防火墙和监控系统日志。您还应联系供应商以请求安全更新。
目前没有官方的修复程序可用。描述的缓解措施是可用的最佳选项,直到发布补丁。
监控系统日志,查找可疑活动,例如登录失败、意外的数据更改或异常的网络流量。