CVE-2026-13498
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność SQL Injection w systemie zarządzania restauracją yashpokharna2555. Atakujący może zdalnie manipulować argumentem 'email' w pliku /forgotpassword.php, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.
Ocena ryzyka
Ryzyko obejmuje nieautoryzowany dostęp do bazy danych, wyciek danych klientów i potencjalne przejęcie kontroli nad systemem. Brak odpowiedzi ze strony twórcy zwiększa ryzyko eksploatacji.
Rekomendacja
Natychmiast wyłącz lub zabezpiecz endpoint /forgotpassword.php poprzez walidację wejścia i użycie prepared statements. Rozważ tymczasowe wyłączenie systemu do czasu wydania łatki.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was identified in yashpokharna2555 restaurent-management-system. This affects an unknown function of the file /forgotpassword.php of the component POST Parameter Handler. Such manipulation of the argument email leads to sql injection. The attack can be launched remotely. The exploit is publicly available and might be used. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. The project was informed of the problem early through an issue report but has not responded yet.

