平台
php
组件
itsourcecode
修复版本
1.0.1
CVE-2026-5719 是其sourcecode Construction Management System 中的一个SQL注入漏洞,存在于1.0.0–1.0版本中。攻击者可以通过操纵/borrowedtool.php文件的参数,在未知函数中注入恶意SQL代码,从而可能导致敏感信息泄露或数据库被篡改。由于利用代码已公开,该漏洞的风险较高。目前尚未发布官方补丁。
在 itsourcecode Construction Management System 1.0 版本中发现了一个 SQL 注入漏洞。该漏洞存在于 /borrowedtool.php 文件中一个未知的函数中,可以通过操纵参数代码来利用。远程攻击者可以利用此漏洞执行恶意 SQL 查询,从而可能损害数据库的机密性和完整性。影响可能包括数据泄露、数据修改,甚至系统接管。功能性漏洞利用程序的发布会大大增加定向攻击的风险。由于没有提供官方修复程序(fix: none),因此需要进行彻底评估并实施替代缓解措施。
/borrowedtool.php 中的 SQL 注入漏洞允许远程攻击者操纵函数的参数以注入恶意 SQL 代码。发布功能性漏洞利用程序意味着攻击者已经拥有一个经过验证的工具来利用此漏洞,从而大大增加了自动化和定向攻击的风险。该漏洞很可能依赖于将 SQL 语句注入到函数的输入参数中,从而允许攻击者在数据库上执行任意命令。输入验证不足是此漏洞的根本原因。建议用户在实施缓解措施之前,如果受影响的功能不是必需的,则暂时禁用它。
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
由于没有提供官方修复程序(fix: none),因此强烈建议立即采取预防措施。这些措施包括,但不仅限于,升级到安全版本(如果将来可用),部署 Web 应用程序防火墙 (WAF) 以过滤恶意流量,严格验证和清理所有用户输入,并将数据库帐户应用于最小权限原则。积极监控系统日志以查找可疑活动至关重要。此外,建议对源代码进行全面的安全审计,以识别和修复其他潜在漏洞。由于没有官方修复程序,因此系统管理员有更大的责任来保护其数据。
Actualice el sistema de gestión de la construcción itsourcecode a una versión corregida. Verifique la documentación del proveedor para obtener instrucciones específicas de actualización. Como explotación publicada, se recomienda aplicar la corrección lo antes posible para mitigar el riesgo de inyección SQL.
漏洞分析和关键警报直接发送到您的邮箱。
这是一个用于标识此漏洞的唯一标识符,用于在安全报告中跟踪和引用它。
这是一种攻击类型,允许攻击者将恶意 SQL 代码插入到应用程序中以访问或操作数据库。
实施建议的缓解措施,监控您的系统是否存在可疑活动,并随时了解潜在的安全更新。
根据提供的信息,目前没有官方修复程序可用(fix: none)。
验证和清理所有用户输入,使用参数化查询或存储过程,应用最小权限原则,并保持软件更新。
CVSS 向量