CVE-2026-49491
HighCVSS 8.2Summary
Pixa Bank 2.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wydobycie wrażliwych danych poprzez wstrzykiwanie kodu SQL do parametru 'rib'. Atakujący mogą wysyłać żądania POST do punktu końcowego agence-ajax.php z ładunkami SQL opartymi na UNION, aby uzyskać informacje o użytkownikach, w tym imiona, adresy e-mail i numery telefonów z bazy danych.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia nieautoryzowany dostęp do wrażliwych danych osobowych użytkowników. Może to prowadzić do naruszenia prywatności oraz utraty zaufania klientów.
Recommendation
Zaleca się natychmiastowe załatanie podatności poprzez walidację i sanitizację danych wejściowych oraz ograniczenie dostępu do punktu końcowego agence-ajax.php. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji, aby zidentyfikować inne potencjalne luki.
Original NVD description (English source)
Pixa Bank 2.0 contains an SQL injection vulnerability that allows unauthenticated attackers to extract sensitive data by injecting SQL code into the 'rib' parameter. Attackers can send POST requests to the agence-ajax.php endpoint with UNION-based SQL payloads to retrieve user information including names, email addresses, and phone numbers from the database.

