Katalog CVE

CVE-2026-14694

ŚrednieCVSS 6.3
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W systemie SourceCodester Multi-Vendor Online Grocery Management System 1.0 znaleziono podatność SQL injection w funkcji cancel_order pliku classes/Master.php. Manipulacja argumentem ID w żądaniu POST pozwala na wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a exploit został ujawniony publicznie.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania nieautoryzowanych zapytań SQL, co może prowadzić do wycieku, modyfikacji lub usunięcia danych w bazie, a także do przejęcia kontroli nad systemem.

Rekomendacja

Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. Dodatkowo, zaleca się walidację i sanityzację wszystkich danych wejściowych, szczególnie argumentu ID w żądaniach POST.

Oryginalny opis (angielski, źródło NVD)

A vulnerability has been found in SourceCodester Multi-Vendor Online Grocery Management System 1.0. Affected by this issue is the function cancel_order of the file classes/Master.php of the component POST Parameter Handler. The manipulation of the argument ID leads to sql injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS