CVE-2026-6000code-projects Online Library Management System 1.0版本存在信息泄露漏洞。该漏洞源于SQL数据库备份文件处理组件未正确限制访问,导致/s/sql/library.sql文件暴露。攻击者无需复杂认证即可远程发起攻击,下载并解析该备份文件,从而获取数据库结构及敏感数据,对系统安全构成严重威胁。
该漏洞的根本原因在于Web应用程序对静态资源(特别是数据库备份文件)的访问控制缺失。在code-projects Online Library Management System 1.0的部署中,数据库备份文件`/sql/library.sql`被错误地放置在Web可访问的目录下,且未实施有效的访问限制策略。攻击者无需身份验证,仅通过构造简单的HTTP GET请求即可远程下载该文件。获取该SQL文件后,攻击者可利用文本编辑器或数据库工具离线解析文件内容,从而获取完整的数据库表结构、管理员账户哈希值、用户个人信息及其他敏感业务逻辑数据。此类信息的泄露不仅直接导致数据隐私风险,还可能为攻击者提供凭据破解的素材,进而接管系统权限。