Katalog CVE

CVE-2025-10878

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W funkcjonalności logowania aplikacji Fikir Odalari AdminPando w wersji 1.0.1 przed 2026-01-26 występuje podatność na wstrzykiwanie SQL. Parametry nazwy użytkownika i hasła są podatne na atak, co pozwala nieautoryzowanym atakującym na całkowite ominięcie procesu uwierzytelniania.

Ocena ryzyka

Sukcesywne wykorzystanie tej podatności umożliwia pełny dostęp administracyjny do aplikacji, w tym możliwość manipulacji treścią publicznej strony internetowej. To stwarza poważne zagrożenie dla integralności i bezpieczeństwa danych organizacji.

Rekomendacja

Zaleca się aktualizację aplikacji do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające przed wstrzykiwaniem SQL, takie jak stosowanie parametrów w zapytaniach do bazy danych.

Oryginalny opis (angielski, źródło NVD)

A SQL injection vulnerability exists in the login functionality of Fikir Odalari AdminPando 1.0.1 before 2026-01-26. The username and password parameters are vulnerable to SQL injection, allowing unauthenticated attackers to bypass authentication completely. Successful exploitation grants full administrative access to the application, including the ability to manipulate the public-facing website content (HTML/DOM manipulation).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS