CVE-2026-13527
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność SQL injection w pliku /preview4.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument course_year_section, co umożliwia atakującemu wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania nieautoryzowanych zapytań SQL, co może prowadzić do wycieku, modyfikacji lub usunięcia danych w bazie systemu. Organizacja narażona jest na naruszenie poufności i integralności danych.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. Do czasu wdrożenia poprawek zaleca się tymczasowe wyłączenie dostępu do pliku /preview4.php lub zastosowanie filtrowania danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been found in SourceCodester Class and Exam Timetabling System 1.0. The affected element is an unknown function of the file /preview4.php. Such manipulation of the argument course_year_section leads to sql injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used.

