一、 漏洞 CVE-2026-1176 基础信息
漏洞信息
# itsourcecode 学校管理系统 SQL注入漏洞
## 概述
itsourcecode School Management System 1.0 中存在一个SQL注入漏洞,位于 `/subject/index.php` 文件的未知函数中,通过操纵参数 `ID` 可触发。
## 影响版本
itsourcecode School Management System 1.0
## 细节
攻击者可通过远程向 `/subject/index.php` 提交恶意构造的 `ID` 参数,利用SQL注入漏洞执行任意SQL命令。
## 影响
该漏洞允许远程攻击者执行SQL注入攻击,可能导致数据泄露、数据篡改或数据库服务器被完全控制。相关漏洞利用代码已公开,存在被主动利用的风险。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
itsourcecode School Management System index.php sql injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A security flaw has been discovered in itsourcecode School Management System 1.0. Affected is an unknown function of the file /subject/index.php. Performing a manipulation of the argument ID results in sql injection. It is possible to initiate the attack remotely. The exploit has been released to the public and may be used for attacks.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-1176 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-1176 的情报信息
标题: itsourcecode School Management System V1.0 SQL Injection Vulnerability · Issue #32 · ltranquility/CVE -- 🔗来源链接
标签:exploitissue-tracking
神龙速读:### 关键信息 #### 受影响的产品: - School Management System (V1.0) #### 漏洞类型: - SQL Injection #### 漏洞文件: - /ramonsys/subject/index.php #### 版本: - V1.0 #### 根因: - 在 `/ramonsys/subject/index.php` 文件中发现 SQL 注入漏洞,通过 `id` 参数注入恶意代码,导致应用未正确验证或转义输入数据,从而操纵 SQL 查询并执行未授权操作。 #### 影响: - 攻击者可利用此漏洞获得未经授权的数据库访问、敏感数据泄露、数据篡改、系统控制和中断服务,严重威胁系统安全和业务连续性。 #### 无认证要求: - 利用该漏洞不需要对系统进行认证或事先访问。 #### 建议修复: 1. 使用预编译语句和参数绑定。 2. 进行输入验证和过滤。 3. 限制数据库用户权限。 4. 定期进行安全审计。
标题: Itsourcecode.com - Partner In Your Coding Journey! -- 🔗来源链接
标签:product
- https://vuldb.com/?ctiid.341770signaturepermissions-required
标题: Submit #736477: itsourcecode School Management System V1.0 SQL Injection -- 🔗来源链接
标签:third-party-advisory
神龙速读:- **Vulnerability:** SQL Injection - **Target:** itsourcecode School Management System V1.0 - **Affected File:** `/ramonsys/subject/index.php` - **Description:** - SQL injection vulnerability in the file `/ramonsys/subject/index.php`. - No validation or sanitization on the 'id' parameter allows injecting malicious SQL code. - Attackers can execute unauthorized SQL operations. - **Source:** [https://github.com/Itranquility/CVE/issues/32](https://github.com/Itranquility/CVE/issues/32) - **Submitted By:** odstlhy (UID 94411) - **Submission Date:** 2023-01-12 07:43 AM - **Moderation Date:** 2023-01-19 08:19 AM - **Status:** Accepted - **VulDB Entry:** [341770](https://vuldb.com/?id.341770) - **Points:** 20
标题: CVE-2026-1176 itsourcecode School Management System index.php sql injection (EUVD-2026-3195) -- 🔗来源链接
标签:vdb-entrytechnical-description
神龙速读:## 关键漏洞信息 - **漏洞类型**: SQL Injection - **受影响系统**: ITSOURCECODE School Management System 1.0 - **漏洞文件**: /subject/index.php - **受影响参数**: ID - **CVE编号**: CVE-2026-1176 - **CVSS Meta Temp Score**: 6.9 - **漏洞分类**: Critical - **CWE编号**: CWE-89 - **CTI Interest Score**: 4.17- - **当前漏洞利用价格**: $0-$5k - **漏洞描述**: - 漏洞存在于unknown functionality of the file /subject/index.php. - 通过操纵ID参数并输入未知输入,可导致SQL注入漏洞。 - 可以远程发起攻击,且已知有公开的漏洞利用工具。 - 漏洞影响系统中的机密性、完整性和可用性。 - **相关链接**: - Advisory: [GitHub](https://github.com/) - 漏洞与MITRE ATT&CK项目关联的编号: T1505
- https://nvd.nist.gov/vuln/detail/CVE-2026-1176
四、漏洞 CVE-2026-1176 的评论
暂无评论