平台
php
组件
code-projects-online-fir-system
修复版本
1.0.1
CVE-2026-5665是一个SQL注入漏洞,存在于Online FIR System的Login组件的/Login/checklogin.php文件中。该漏洞允许攻击者通过操纵email/password参数来执行恶意SQL语句,可能导致敏感数据泄露或系统被篡改。该漏洞影响Online FIR System 1.0.0到1.0.0版本。目前尚未发布官方补丁。
code-projects 的 Online FIR 系统 1.0 版本中发现了一个 SQL 注入漏洞。该漏洞影响了 Login 组件中 /Login/checklogin.php 文件的未知功能。攻击者可以通过操纵 'email' 和 'password' 参数来利用此漏洞,从而可能导致未经授权的数据库访问、数据修改或删除,甚至可以在服务器上执行命令。该漏洞的严重程度根据 CVSS 评分为 7.3,表明存在重大风险。漏洞的公开披露以及易于利用进一步增加了攻击的风险。由于开发人员未提供修复程序,因此系统用户必须立即采取措施来减轻此漏洞至关重要。
该漏洞位于 Online FIR 系统的 Login 组件的 /Login/checklogin.php 文件中。攻击者可以通过发送操纵 'email' 和 'password' 参数的恶意请求来利用此漏洞。SQL 注入允许攻击者在底层数据库上执行任意 SQL 查询。漏洞的公开性质意味着攻击者可以访问利用漏洞所需的技巧和工具。漏洞的远程性质意味着攻击者可以从任何具有互联网访问权限的位置发起攻击。缺乏官方修复增加了实施缓解措施的紧迫性。
Organizations utilizing the Online FIR System for reporting crimes, particularly those relying on version 1.0.0–1.0, are at significant risk. Shared hosting environments where multiple applications share the same database server are also particularly vulnerable, as a successful attack on one application could compromise the entire database.
• php: Examine web server access logs for suspicious requests targeting /Login/checklogin.php with unusual characters in the email or password parameters.
grep -i 'email=[^a-zA-Z0-9@._-]*|password=[^a-zA-Z0-9@._-]*' /var/log/apache2/access.log• php: Search the codebase for instances of direct SQL queries using user-supplied input without proper sanitization. • generic web: Use a vulnerability scanner to identify SQL injection vulnerabilities in the Online FIR System. • generic web: Monitor network traffic for unusual database queries originating from the Online FIR System server.
disclosure
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
CVSS 向量
由于 code-projects 未提供官方修复程序,因此减轻此 SQL 注入漏洞需要积极主动和手动的方法。强烈建议使用强大的清理和验证技术审查和验证所有用户输入,尤其是 'email' 和 'password' 字段。实施参数化查询或存储过程是防止 SQL 注入的关键实践。此外,将数据库访问限制为仅必要的用户和帐户,并应用最小权限原则。积极监控系统日志以查找可疑活动也很重要。如果可用,请考虑升级到更安全的软件版本,或寻找不受此类攻击影响的替代解决方案。
Actualice el sistema a una versión corregida o aplique parches de seguridad para mitigar la vulnerabilidad de inyección SQL en el archivo /Login/checklogin.php. Implemente validación y saneamiento de entradas para prevenir la inyección de código malicioso. Considere utilizar consultas preparadas o procedimientos almacenados para interactuar con la base de datos de forma segura.
漏洞分析和关键警报直接发送到您的邮箱。
SQL 注入是一种攻击,攻击者可以通过在数据库查询中插入恶意 SQL 代码来访问敏感数据或控制服务器。
监控系统日志中是否存在可疑活动,例如登录失败尝试或异常的 SQL 查询。您还可以使用入侵检测工具来识别潜在的攻击。
立即将受影响的系统从网络隔离,以防止攻击进一步传播。进行法医评估以确定损害程度,并采取措施恢复受影响的系统和数据。
有几种工具可以帮助您防止 SQL 注入,例如 Web 应用程序防火墙 (WAF) 和漏洞扫描器。您还可以使用实现对 SQL 注入保护的的安全开发库和框架。
您可以在 OWASP(开放 Web 应用程序安全项目)和 SANS Institute 等网站上找到有关 SQL 注入的更多信息。