CRITICAL🇬🇧 English

CVE-2026-30533

SQL Injection w Online Food Ordering System przez parametr 'id'

CVSS 9.8v3.1pub. 2026-03-27upd. 2026-03-30

W aplikacji SourceCodester Online Food Ordering System v1.0 wykryto podatność typu SQL Injection umożliwiającą nieautoryzowany dostęp do bazy danych. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

A SQL Injection vulnerability exists in SourceCodester Online Food Ordering System v1.0 in the admin/manage_product.php file via the "id" parameter.

🤖 Analiza AI
Jak działa

Podatność występuje w pliku admin/manage_product.php, gdzie parametr 'id' przesyłany w żądaniu HTTP nie jest odpowiednio walidowany ani parametryzowany przed użyciem w zapytaniu SQL. Atakujący może wstrzyknąć złośliwy kod SQL poprzez manipulację wartością tego parametru, co pozwala na wykonanie dowolnych zapytań do bazy danych. Atak możliwy jest zdalnie, bez uwierzytelnienia i bez interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać pełny dostęp do danych przechowywanych w bazie danych (w tym danych użytkowników i produktów), a w zależności od konfiguracji serwera bazy danych — również modyfikować lub usuwać dane, co prowadzi do naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również wdrożenie parametryzowanych zapytań SQL (prepared statements) oraz walidacji danych wejściowych po stronie serwera. Do czasu aktualizacji rekomenduje się ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP.

Kogo dotyczy

SourceCodester Online Food Ordering System v1.0 (plik admin/manage_product.php, parametr 'id')

Uwagi

Dla podatności dostępny jest publiczny proof-of-concept (PoC) opublikowany w repozytorium GitHub pod adresem wskazanym w referencjach, co zwiększa ryzyko wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oretnom23 Online Food Ordering System

    APP
    Oretnom23
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-30532CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Online Food Ordering System via parametr 'id'

CVE-2026-30530CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Online Food Ordering System — parametr username

CVE-2023-30122CRITICAL9.8ten sam produkt

An arbitrary file upload vulnerability in the component /admin/ajax.php?action=save_menu of Online Food Orderi...

CVE-2023-24646CRITICAL9.8ten sam produkt

An arbitrary file upload vulnerability in the component /fos/admin/ajax.php of Food Ordering System v2.0 allow...

CVE-2020-29297CRITICAL9.8ten sam produkt

Multiple SQL Injection vulnerabilities in tourist5 Online-food-ordering-system 1.0.