CRITICAL🇬🇧 English

CVE-2025-69991

SQL Injection w Phpgurukul News Portal V4.1 (check_availablity.php)

CVSS 9.8v3.1pub. 2026-01-13upd. 2026-01-16

Phpgurukul News Portal w wersji V4.1 zawiera krytyczną podatność typu SQL Injection w pliku check_availablity.php. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL bezpośrednio na bazie danych aplikacji.

Pokaż oryginał (EN)

phpgurukul News Portal Project V4.1 is vulnerable to SQL Injection in check_availablity.php.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do zapytań SQL w pliku check_availablity.php (CWE-89). Atakujący może wstrzyknąć dowolny kod SQL poprzez sieć, bez konieczności posiadania konta ani interakcji ze strony użytkownika. Wektor ataku sieciowy przy niskiej złożoności (AC:L, PR:N, UI:N) oznacza, że exploit jest trywialny do przeprowadzenia przez każdą osobę z dostępem do aplikacji.

Skutki

Atakujący może uzyskać pełny dostęp do bazy danych (odczyt, modyfikacja, usunięcie danych), co obejmuje potencjalną kradzież danych użytkowników, haseł i treści portalu, a także możliwość przejęcia kontroli nad aplikacją lub serwerem bazy danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do aplikacji oraz wdrożenie reguł WAF (firewall aplikacyjnego) blokujących próby SQL Injection.

Kogo dotyczy

Phpgurukul News Portal Project w wersji V4.1

Uwagi

Szczegóły techniczne podatności wraz z dowodem koncepcji (proof-of-concept) zostały opublikowane w referencjach GitHub. Podatność nie figuruje w katalogu CISA KEV.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Phpgurukul News Portal

    APP
    Phpgurukul
    4.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-69992CRITICAL9.8PL ✓ten sam produkt

Nieautoryzowany upload pliku dowolnego formatu w Phpgurukul News Portal

CVE-2025-69990CRITICAL9.1PL ✓ten sam produkt

Arbitrary File Deletion w Phpgurukul News Portal V4.1 (remove_file.php)

CVE-2025-4874MEDIUM6.9ten sam produkt

A vulnerability was found in PHPGurukul News Portal Project 4.1 and classified as critical. Affected by this i...

CVE-2025-4873MEDIUM6.9ten sam produkt

A vulnerability has been found in PHPGurukul News Portal 4.1 and classified as critical. Affected by this vuln...

CVE-2025-4880MEDIUM6.9ten sam produkt

A vulnerability has been found in PHPGurukul News Portal 4.1 and classified as critical. Affected by this vuln...