آسیب‌پذیری CVE-2024-44659 با شدت 9.8 یک نقص SQL Injection در نرم‌افزار PHPGurukul Online Shopping Portal نسخه 2.0 است که از طریق پارامتر email در صفحه forgot-password.php قابل بهره‌برداری است. به‌دلیل نبود هرگونه اعتبارسنجی و فیلترسازی ورودی، مهاجم می‌تواند مقادیر دلخواه را به Query پایگاه داده تزریق کرده و ساختار آن را تغییر دهد. این حمله بدون نیاز به احراز هویت انجام می‌شود و امکان استخراج اطلاعات حساس کاربران، دور زدن فرآیند بازیابی رمز عبور، دستکاری داده‌ها و حتی دستیابی به کنترل کامل دیتابیس را فراهم می‌کند. با توجه به عدم ارائه وصله از سوی توسعه‌دهنده، نسخه آسیب‌پذیر همچنان در معرض خطر است و احتمال تأثیر بر تمامی نصب‌های فعال وجود دارد. این نقص از نوع High/ Critical Severity SQL Injection محسوب می‌شود و نیازمند کاهش فوری سطح دسترسی و اعمال کنترل‌های امنیتی جانبی است.

                       محصولات تحت‌تأثیر

• PHPGurukul Online Shopping Portal – نسخه 2.0 (نسخه‌ای که آسیب‌پذیری در آن تأیید شده است)
• نصب‌هایی از Online Shopping Portal که از فایل forgot-password.php بدون فیلترسازی پارامتر email استفاده می‌کنند
• نسخه‌های مشابه یا Forkهای مشتق‌شده از PHPGurukul OSP (در صورت استفاده از همان منطق آسیب‌پذیر)

توصیه‌های امنیتی

• اصلاح کد صفحه forgot-password.php با استفاده از Prepared Statements / Parameterized Queries
• اعمال فیلترسازی و اعتبارسنجی ورودی (Sanitization & Validation) برای پارامتر email
• به‌روزرسانی یا اعمال Patch سفارشی در صورت عدم ارائه وصله رسمی توسط PHPGurukul
• محدود کردن سطح دسترسی دیتابیس (حدف مجوزهای غیرضروری مانند SELECT *, UPDATE، DELETE)
• استفاده از Web Application Firewall (WAF) با فعال‌سازی قوانین SQL Injection (مانند OWASP CRS)
• غیرفعال‌سازی موقت صفحه forgot-password در صورت عدم امکان Patch فوری
• مانیتورینگ و بررسی لاگ‌های MySQL/PHP برای کشف تلاش‌های تزریق SQL
• ایزوله‌سازی سرور و فایل‌های PHP برای جلوگیری از زنجیره حمله و محدود کردن اثرگذاری.

        منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2024-44659