CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-10878

Critical
Published: Translated: NVD NIST

Summary

W funkcjonalności logowania aplikacji Fikir Odalari AdminPando w wersji 1.0.1 przed 2026-01-26 występuje podatność na wstrzykiwanie SQL. Parametry nazwy użytkownika i hasła są podatne na atak, co pozwala nieautoryzowanym atakującym na całkowite ominięcie procesu uwierzytelniania.

Risk Assessment

Sukcesywne wykorzystanie tej podatności umożliwia pełny dostęp administracyjny do aplikacji, w tym możliwość manipulacji treścią publicznej strony internetowej. To stwarza poważne zagrożenie dla integralności i bezpieczeństwa danych organizacji.

Recommendation

Zaleca się aktualizację aplikacji do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające przed wstrzykiwaniem SQL, takie jak stosowanie parametrów w zapytaniach do bazy danych.

Original NVD description (English source)

A SQL injection vulnerability exists in the login functionality of Fikir Odalari AdminPando 1.0.1 before 2026-01-26. The username and password parameters are vulnerable to SQL injection, allowing unauthenticated attackers to bypass authentication completely. Successful exploitation grants full administrative access to the application, including the ability to manipulate the public-facing website content (HTML/DOM manipulation).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS