CRITICAL🇬🇧 English

CVE-2025-46192

SQL Injection w SourceCodester Client Database Management System 1.0

CVSS 9.8v3.1pub. 2025-05-09upd. 2025-05-22

SourceCodester Client Database Management System 1.0 zawiera krytyczną podatność SQL Injection w pliku user_payment_update.php. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne przejęcie kontroli nad bazą danych aplikacji.

Pokaż oryginał (EN)

SourceCodester Client Database Management System 1.0 is vulnerable to SQL Injection in user_payment_update.php via the order_id POST parameter.

🤖 Analiza AI
Jak działa

Podatność występuje w parametrze POST o nazwie order_id, przesyłanym do skryptu user_payment_update.php. Dane wejściowe nie są odpowiednio walidowane ani sanityzowane przed włączeniem do zapytania SQL. Atakujący może wstrzyknąć złośliwy kod SQL, który zostanie wykonany bezpośrednio przez silnik bazy danych. Atak nie wymaga uwierzytelnienia ani żadnej interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych — odczytać, zmodyfikować lub usunąć jej zawartość, co obejmuje dane klientów i transakcji. W zależności od konfiguracji serwera możliwe jest również przejęcie kontroli nad systemem operacyjnym.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako doraźne zabezpieczenie zaleca się ograniczenie dostępu do podatnego endpointu na poziomie firewall lub serwera WWW oraz wdrożenie parametryzowanych zapytań SQL (prepared statements) w kodzie aplikacji.

Kogo dotyczy

SourceCodester Client Database Management System w wersji 1.0 — plik user_payment_update.php, parametr POST order_id.

Uwagi

Podatność została udokumentowana publicznie w repozytorium GitHub (github.com/x6vrn/mitre/blob/main/CVE-2025-46192.md), co zwiększa ryzyko jej wykorzystania przez atakujących dysponujących podstawowymi umiejętnościami.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lerouxyxchire Client Database Management System

    APP
    Lerouxyxchire
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-46188CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46189CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46190CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46191CRITICAL9.8PL ✓ten sam produkt

Dowolne przesyłanie plików i RCE w SourceCodester Client Database Management System 1.0

CVE-2025-46193CRITICAL9.8PL ✓ten sam produkt

RCE poprzez Arbitrary File Upload w SourceCodester Client Database Management System 1.0