CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-67147

Critical
Published: Translated: NVD NIST

Summary

W systemie zarządzania siłownią amansuryawanshi Gym-Management-System-PHP 1.0 występuje wiele podatności na ataki SQL Injection poprzez parametry 'name', 'email' i 'comment' w pliku submit_contact.php, 'username' i 'pass_key' w secure_login.php oraz 'login_id', 'pwfield' i 'login_key' w change_s_pwd.php. Atakujący, zarówno nieautoryzowany, jak i autoryzowany, może wykorzystać te luki do ominięcia uwierzytelnienia, wykonania dowolnych poleceń SQL, modyfikacji rekordów w bazie danych, usunięcia danych lub eskalacji uprawnień do poziomu administratora.

Risk Assessment

Organizacja narażona jest na poważne ryzyko, w tym możliwość nieautoryzowanego dostępu do danych, ich modyfikacji oraz utraty kontroli nad systemem. W przypadku wykorzystania tych podatności, atakujący może uzyskać pełne uprawnienia administratora.

Recommendation

Zaleca się natychmiastowe zaktualizowanie systemu do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów zabezpieczających, takich jak walidacja danych wejściowych i stosowanie przygotowanych zapytań SQL, aby zminimalizować ryzyko ataków SQL Injection.

Original NVD description (English source)

Multiple SQL Injection vulnerabilities exist in amansuryawanshi Gym-Management-System-PHP 1.0 via the 'name', 'email', and 'comment' parameters in (1) submit_contact.php, the 'username' and 'pass_key' parameters in (2) secure_login.php, and the 'login_id', 'pwfield', and 'login_key' parameters in (3) change_s_pwd.php. An unauthenticated or authenticated attacker can exploit these issues to bypass authentication, execute arbitrary SQL commands, modify database records, delete data, or escalate privileges to administrator level.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS