W aplikacji Fikir Odalari AdminPando 1.0.1 wykryto podatność SQL injection w formularzu logowania, umożliwiającą nieuwierzytelnionemu atakującemu całkowite ominięcie mechanizmu uwierzytelnienia. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej instalacji tego oprogramowania.
▸ Pokaż oryginał (EN)
A SQL injection vulnerability exists in the login functionality of Fikir Odalari AdminPando 1.0.1 before 2026-01-26. The username and password parameters are vulnerable to SQL injection, allowing unauthenticated attackers to bypass authentication completely. Successful exploitation grants full administrative access to the application, including the ability to manipulate the public-facing website content (HTML/DOM manipulation).
Parametry username oraz password przesyłane podczas logowania nie są prawidłowo walidowane ani sanityzowane przed przekazaniem do zapytania SQL. Atakujący może wstrzyknąć złośliwy kod SQL (SQL injection) bezpośrednio w te pola, powodując, że baza danych zinterpretuje zapytanie w sposób pomijający weryfikację hasła i tożsamości użytkownika. Nie jest wymagane posiadanie żadnych danych uwierzytelniających ani wcześniejszy dostęp do systemu — atak można przeprowadzić zdalnie przez sieć bez interakcji ze strony ofiary.
Skuteczne wykorzystanie podatności daje atakującemu pełny dostęp administracyjny do aplikacji, w tym możliwość manipulacji treścią publicznej strony internetowej (HTML/DOM manipulation) oraz kontrolę nad wszystkimi funkcjami panelu administracyjnego.
Należy niezwłocznie zaktualizować aplikację Fikir Odalari AdminPando do wersji wydanej po 2026-01-26, która eliminuje opisaną podatność. Szczegóły dostępne w referencjach producenta oraz w opublikowanym raporcie badacza. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do panelu logowania wyłącznie do zaufanych adresów IP na poziomie firewalla.
Fikir Odalari AdminPando w wersji 1.0.1 przed aktualizacją z dnia 2026-01-26.
Podatność została odkryta i zgłoszona przez Onurcana Genca (onurcangenc.com.tr). Publiczny kod proof-of-concept dostępny jest w repozytorium GitHub: github.com/onurcangnc/CVE-2025-10878-AdminPandov1.0.1-SQLi.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HOmran Fikir Odalari Adminpando
APPOmran≤ 1.0.1