CRITICAL🇬🇧 English

CVE-2025-46190

SQL Injection w SourceCodester Client Database Management System 1.0

CVSS 9.8v3.1pub. 2025-05-09upd. 2025-05-22

SourceCodester Client Database Management System 1.0 zawiera krytyczną podatność SQL Injection w pliku user_delivery_update.php. Luka umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie kontroli nad bazą danych aplikacji.

Pokaż oryginał (EN)

SourceCodester Client Database Management System 1.0 is vulnerable to SQL Injection in user_delivery_update.php via the order_id POST parameter.

🤖 Analiza AI
Jak działa

Podatność występuje w parametrze POST o nazwie order_id, przekazywanym do skryptu user_delivery_update.php. Dane wprowadzone przez użytkownika są włączane do zapytania SQL bez odpowiedniej walidacji i sanityzacji, co pozwala atakującemu na wstrzyknięcie dowolnych instrukcji SQL. Ze względu na brak wymagań dotyczących uwierzytelnienia (PR:N, UI:N), exploit może być przeprowadzony przez każdą osobę mającą dostęp sieciowy do aplikacji.

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych, odczytać, zmodyfikować lub usunąć zgromadzone dane, a w sprzyjających warunkach konfiguracyjnych doprowadzić do wykonania poleceń na serwerze. Wektor CVSS wskazuje na wysokie ryzyko naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do aplikacji oraz wdrożenie reguł firewall aplikacyjnego (WAF) blokujących próby wstrzyknięcia SQL.

Kogo dotyczy

SourceCodester Client Database Management System w wersji 1.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lerouxyxchire Client Database Management System

    APP
    Lerouxyxchire
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-46188CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46189CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46191CRITICAL9.8PL ✓ten sam produkt

Dowolne przesyłanie plików i RCE w SourceCodester Client Database Management System 1.0

CVE-2025-46192CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46193CRITICAL9.8PL ✓ten sam produkt

RCE poprzez Arbitrary File Upload w SourceCodester Client Database Management System 1.0