Katalog CVE

CVE-2026-13498

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Podatność SQL Injection w systemie zarządzania restauracją yashpokharna2555. Atakujący może zdalnie manipulować argumentem 'email' w pliku /forgotpassword.php, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowany dostęp do bazy danych, wyciek danych klientów i potencjalne przejęcie kontroli nad systemem. Brak odpowiedzi ze strony twórcy zwiększa ryzyko eksploatacji.

Rekomendacja

Natychmiast wyłącz lub zabezpiecz endpoint /forgotpassword.php poprzez walidację wejścia i użycie prepared statements. Rozważ tymczasowe wyłączenie systemu do czasu wydania łatki.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was identified in yashpokharna2555 restaurent-management-system. This affects an unknown function of the file /forgotpassword.php of the component POST Parameter Handler. Such manipulation of the argument email leads to sql injection. The attack can be launched remotely. The exploit is publicly available and might be used. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. The project was informed of the problem early through an issue report but has not responded yet.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS