CVE-2026-13485
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 — wyżej niż 33% wszystkich znanych CVE
Streszczenie
W systemie SourceCodester Class and Exam Timetabling System 1.0 odkryto podatność SQL Injection w pliku /preview.php. Atakujący może zdalnie manipulować argumentem course_year_section, co prowadzi do wstrzyknięcia kodu SQL. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do bazy danych, wyciek poufnych danych (np. harmonogramów, danych uczniów) oraz potencjalną modyfikację lub usunięcie danych.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. Dodatkowo, wdrożyć walidację wejścia i parametryzację zapytań SQL w pliku /preview.php.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in SourceCodester Class and Exam Timetabling System 1.0. This affects an unknown function of the file /preview.php. Performing a manipulation of the argument course_year_section results in sql injection. The attack can be initiated remotely. The exploit has been made public and could be used.

