CRITICAL🇬🇧 English

CVE-2026-30530

SQL Injection w Online Food Ordering System — parametr username

CVSS 9.8v3.1pub. 2026-03-27upd. 2026-03-30

W aplikacji SourceCodester Online Food Ordering System v1.0 istnieje krytyczna podatność typu SQL Injection w pliku Actions.php (akcja save_customer). Atakujący bez uwierzytelnienia może wstrzyknąć złośliwe polecenia SQL poprzez parametr 'username', uzyskując pełną kontrolę nad bazą danych.

Pokaż oryginał (EN)

A SQL Injection vulnerability exists in SourceCodester Online Food Ordering System v1.0 in the Actions.php file (specifically the save_customer action). The application fails to properly sanitize user input supplied to the "username" parameter. This allows an attacker to inject malicious SQL commands.

🤖 Analiza AI
Jak działa

Aplikacja nie przeprowadza właściwej sanityzacji danych wejściowych dostarczanych przez użytkownika do parametru 'username' w akcji save_customer pliku Actions.php. Brak filtrowania pozwala atakującemu na osadzenie dowolnych poleceń SQL w zapytaniu wykonywanym przez serwer bazy danych. Atak jest możliwy zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, co odpowiada wektorowi sieciowemu o niskiej złożoności (AV:N/AC:L/PR:N/UI:N).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych (poufność), modyfikować lub usuwać dane (integralność) oraz potencjalnie doprowadzić do niedostępności usługi lub przejęcia kontroli nad serwerem bazy danych (dostępność).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środki tymczasowe zaleca się wdrożenie walidacji i parametryzacji zapytań SQL (prepared statements), ograniczenie dostępu do podatnego endpointu na poziomie firewall/WAF oraz monitorowanie logów pod kątem anomalnych zapytań.

Kogo dotyczy

SourceCodester Online Food Ordering System v1.0 (plik Actions.php, akcja save_customer)

Uwagi

Dla podatności dostępny jest publiczny proof-of-concept (PoC) opublikowany w repozytorium GitHub pod adresem wskazanym w referencjach, co istotnie obniża próg wejścia dla potencjalnych atakujących.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oretnom23 Online Food Ordering System

    APP
    Oretnom23
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-30533CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Online Food Ordering System przez parametr 'id'

CVE-2026-30532CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Online Food Ordering System via parametr 'id'

CVE-2023-30122CRITICAL9.8ten sam produkt

An arbitrary file upload vulnerability in the component /admin/ajax.php?action=save_menu of Online Food Orderi...

CVE-2023-24646CRITICAL9.8ten sam produkt

An arbitrary file upload vulnerability in the component /fos/admin/ajax.php of Food Ordering System v2.0 allow...

CVE-2020-29297CRITICAL9.8ten sam produkt

Multiple SQL Injection vulnerabilities in tourist5 Online-food-ordering-system 1.0.