CRITICAL🇬🇧 English

CVE-2025-46189

SQL Injection w SourceCodester Client Database Management System 1.0

CVSS 9.8v3.1pub. 2025-05-09upd. 2025-05-22

SourceCodester Client Database Management System w wersji 1.0 zawiera krytyczną podatność SQL Injection w pliku user_order_customer_update.php. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL poprzez sieć, co stanowi poważne zagrożenie dla poufności i integralności danych.

Pokaż oryginał (EN)

SourceCodester Client Database Management System 1.0 is vulnerable to SQL Injection in user_order_customer_update.php via the order_id POST parameter.

🤖 Analiza AI
Jak działa

Podatność (CWE-89) polega na braku odpowiedniej walidacji i sanityzacji parametru POST o nazwie order_id w skrypcie user_order_customer_update.php. Atakujący może przekazać spreparowane dane wejściowe zawierające złośliwy kod SQL, który zostaje bezpośrednio osadzony w zapytaniu do bazy danych. Atak nie wymaga uwierzytelnienia, posiadania specjalnych uprawnień ani interakcji ze strony użytkownika, co czyni go szczególnie niebezpiecznym.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane (np. dane klientów i zamówień), a w sprzyjających konfiguracjach serwera bazodanowego może doprowadzić do pełnego przejęcia kontroli nad systemem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się ponadto wdrożenie parametryzowanych zapytań SQL (prepared statements) w kodzie aplikacji, ograniczenie dostępu sieciowego do systemu oraz weryfikację wszystkich danych wejściowych po stronie serwera.

Kogo dotyczy

SourceCodester Client Database Management System w wersji 1.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lerouxyxchire Client Database Management System

    APP
    Lerouxyxchire
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-46188CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46190CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46191CRITICAL9.8PL ✓ten sam produkt

Dowolne przesyłanie plików i RCE w SourceCodester Client Database Management System 1.0

CVE-2025-46192CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46193CRITICAL9.8PL ✓ten sam produkt

RCE poprzez Arbitrary File Upload w SourceCodester Client Database Management System 1.0