A security vulnerability has been detected in PHPGurukul Online Shopping Portal Project 2.1. This affects an unknown part of the file /my-profile.php of the component Parameter Handler. The manipulation of the argument fullname leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed publicly and may be used.
CVE-2026-5583 is a SQL injection vulnerability in PHPGurukul Online Shopping Portal Project 2.1 affecting the /my-profile.php file through the fullname parameter. With a CVSS score of 6.3 (medium) and publicly disclosed exploit details, this poses a moderate risk to organizations using this open-source e-commerce platform. No patch is currently available, requiring immediate compensating controls and application hardening.
تم اكتشاف ثغرة أمنية من نوع حقن SQL في بوابة التسوق الإلكتروني PHPGurukul الإصدار 2.1 في ملف /my-profile.php عبر التلاعب بمعامل fullname. يمكن للمهاجم استغلال هذه الثغرة عن بُعد لتنفيذ استعلامات SQL خبيثة على قاعدة البيانات. قد يؤدي الاستغلال الناجح إلى تسريب بيانات العملاء الحساسة بما في ذلك المعلومات الشخصية وبيانات الدفع. تم نشر تفاصيل الاستغلال علنياً مما يزيد من خطورة التهديد في ظل عدم توفر تصحيح أمني رسمي.
CVE-2026-5583 هي ثغرة حقن SQL في مشروع بوابة التسوق الإلكترونية PHPGurukul الإصدار 2.1 تؤثر على ملف /my-profile.php من خلال معامل fullname. مع درجة CVSS 6.3 (متوسطة) وتفاصيل الاستغلال المكشوفة علنًا، يشكل هذا خطرًا معتدلًا على المنظمات التي تستخدم هذه المنصة مفتوحة المصدر. لا يتوفر تصحيح حاليًا، مما يتطلب تطبيق فوري للضوابط البديلة وتقسية التطبيق.
IMMEDIATE ACTIONS:
1. Identify all instances of PHPGurukul Online Shopping Portal 2.1 in your environment
2. Disable or restrict access to /my-profile.php functionality until patching is available
3. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in the fullname parameter
COMPENSATING CONTROLS:
1. Apply input validation: whitelist only alphanumeric characters and spaces for fullname field
2. Implement parameterized queries/prepared statements in the affected code
3. Use stored procedures with input sanitization
4. Enable SQL error suppression to prevent information disclosure
5. Implement database user privilege separation (least privilege principle)
DETECTION RULES:
1. Monitor for SQL keywords (UNION, SELECT, DROP, INSERT) in fullname parameter logs
2. Alert on unusual database query patterns or failed authentication attempts
3. Log all /my-profile.php access attempts with parameter values
4. Implement IDS/IPS signatures for SQL injection patterns
PATCHING STRATEGY:
1. Contact PHPGurukul project maintainers for security patch timeline
2. Prepare for immediate deployment once patch is released
3. Consider migrating to alternative, actively maintained e-commerce platforms if patch timeline is unclear
الإجراءات الفورية:
1. تحديد جميع نسخ PHPGurukul Online Shopping Portal 2.1 في بيئتك
2. تعطيل أو تقييد الوصول إلى وظيفة /my-profile.php حتى يتوفر التصحيح
3. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في معامل fullname
الضوابط البديلة:
1. تطبيق التحقق من المدخلات: السماح فقط بالأحرف الأبجدية الرقمية والمسافات في حقل fullname
2. تطبيق الاستعلامات المعاملة/البيانات المحضرة في الكود المتأثر
3. استخدام الإجراءات المخزنة مع تنظيف المدخلات
4. تفعيل قمع أخطاء SQL لمنع الكشف عن المعلومات
5. تطبيق فصل امتيازات مستخدم قاعدة البيانات (مبدأ أقل امتياز)
قواعد الكشف:
1. مراقبة كلمات SQL الرئيسية (UNION, SELECT, DROP, INSERT) في سجلات معامل fullname
2. التنبيه على أنماط استعلامات قاعدة البيانات غير العادية أو محاولات المصادقة الفاشلة
3. تسجيل جميع محاولات الوصول إلى /my-profile.php مع قيم المعاملات
4. تطبيق توقيعات IDS/IPS لأنماط حقن SQL
استراتيجية التصحيح:
1. التواصل مع مشرفي مشروع PHPGurukul لمعرفة جدول زمني لتصحيح الأمان
2. التحضير للنشر الفوري بمجرد توفر التصحيح
3. النظر في الهجرة إلى منصات التجارة الإلكترونية البديلة المدعومة بنشاط إذا كان جدول التصحيح غير واضح