CRITICAL🇬🇧 English

CVE-2023-41503

SQL injection w funkcji logowania — Code-Projects Student Enrollment PHP v1.0

CVSS 9.8v3.1pub. 2024-03-07upd. 2025-05-05

W aplikacji Student Enrollment In PHP w wersji 1.0 wykryto podatność typu SQL injection w funkcji logowania (Login). Umożliwia ona nieuwierzytelnionemu atakującemu zdalne manipulowanie bazą danych, co czyni tę lukę wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

Student Enrollment In PHP v1.0 was discovered to contain a SQL injection vulnerability via the Login function.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do funkcji logowania (CWE-94 — code injection). Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio w pola formularza logowania, modyfikując tym samym zapytanie kierowane do bazy danych. Atak nie wymaga uwierzytelnienia, żadnej interakcji po stronie użytkownika ani szczególnych warunków sieciowych.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do aplikacji (w tym pominąć mechanizm uwierzytelnienia), odczytać, zmodyfikować lub usunąć dane z bazy danych, a potencjalnie przejąć pełną kontrolę nad systemem baz danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się wdrożenie parametryzowanych zapytań SQL (prepared statements) oraz mechanizmów walidacji danych wejściowych po stronie serwera. Rekomendowane jest również ograniczenie dostępu do aplikacji na poziomie firewall do zaufanych adresów IP.

Kogo dotyczy

Code-Projects Student Enrollment In PHP w wersji 1.0

Uwagi

Podatność została udokumentowana przez użytkownika ASR511-OO7 w repozytorium GitHub. Pomimo oceny CVSS 9.8 (CRITICAL), podatność nie figuruje w katalogu CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Code Projects Student Enrollment

    APP
    Code-Projects
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2023-41505CRITICAL9.8PL ✓ten sam produkt

Arbitrary file upload umożliwiający RCE w Student Enrollment In PHP

CVE-2023-41506CRITICAL9.8PL ✓ten sam produkt

Arbitrary File Upload umożliwiający RCE w Student Enrollment In PHP

CVE-2023-41504HIGH8.8ten sam produkt

SQL Injection vulnerability in Student Enrollment In PHP 1.0 allows attackers to run arbitrary code via the St...

CVE-2025-7191MEDIUM5.5ten sam produkt

A vulnerability has been found in code-projects Student Enrollment System 1.0 and classified as critical. This...

CVE-2025-60306CRITICAL9.9PL ✓ten sam vendor

Auth Bypass w Simple Car Rental System — przejęcie sesji wysokich uprawnień