CRITICAL🇬🇧 English

CVE-2026-30532

SQL Injection w SourceCodester Online Food Ordering System via parametr 'id'

CVSS 9.8v3.1pub. 2026-03-27upd. 2026-03-30

W aplikacji SourceCodester Online Food Ordering System v1.0 istnieje podatność typu SQL Injection w pliku admin/view_product.php. Atakujący bez uwierzytelnienia może manipulować zapytaniami do bazy danych, co stanowi krytyczne zagrożenie dla poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

A SQL Injection vulnerability exists in SourceCodester Online Food Ordering System v1.0 in the admin/view_product.php file via the "id" parameter.

🤖 Analiza AI
Jak działa

Podatność występuje w parametrze 'id' obsługiwanym przez plik admin/view_product.php. Dane dostarczane przez użytkownika są przekazywane bezpośrednio do zapytania SQL bez odpowiedniej walidacji ani parametryzacji. Atakujący może wstrzyknąć złośliwy kod SQL, modyfikując logikę zapytania i uzyskując nieautoryzowany dostęp do bazy danych. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika (CVSS AV:N/AC:L/PR:N/UI:N).

Skutki

Atakujący może uzyskać pełny dostęp do danych przechowywanych w bazie danych (w tym danych użytkowników i administratorów), modyfikować lub usuwać dane, a w niektórych konfiguracjach potencjalnie wykonywać operacje na poziomie systemu operacyjnego serwera.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do panelu administracyjnego (np. przez firewall lub ograniczenie adresów IP) oraz wdrożenie walidacji i parametryzacji zapytań SQL po stronie aplikacji.

Kogo dotyczy

SourceCodester Online Food Ordering System v1.0 (plik admin/view_product.php, parametr 'id')

Uwagi

Publicznie dostępny dokument PoC (Proof of Concept) opublikowany w repozytorium GitHub pod adresem wskazanym w referencjach, co zwiększa realne ryzyko wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oretnom23 Online Food Ordering System

    APP
    Oretnom23
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-30533CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Online Food Ordering System przez parametr 'id'

CVE-2026-30530CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Online Food Ordering System — parametr username

CVE-2023-30122CRITICAL9.8ten sam produkt

An arbitrary file upload vulnerability in the component /admin/ajax.php?action=save_menu of Online Food Orderi...

CVE-2023-24646CRITICAL9.8ten sam produkt

An arbitrary file upload vulnerability in the component /fos/admin/ajax.php of Food Ordering System v2.0 allow...

CVE-2020-29297CRITICAL9.8ten sam produkt

Multiple SQL Injection vulnerabilities in tourist5 Online-food-ordering-system 1.0.

CVE-2026-30532 — SQL Injection w SourceCodester Online Food Ordering System via parametr 'id' — CRITICAL 9.8 | CVEbaza.pl