CVE-2026-14762
WysokieCVSS 7.3Streszczenie
W systemie Hotel and Tourism Reservation 1.0 wykryto podatność SQL Injection w pliku /admin/rooms.php. Manipulacja argumentem delete w funkcji zarządzania pokojami umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowany dostęp do bazy danych, wykraść lub zmodyfikować wrażliwe dane rezerwacji i użytkowników, co prowadzi do naruszenia poufności i integralności systemu.
Rekomendacja
Należy natychmiast zastosować parametryzację zapytań SQL lub użyć prepared statements w funkcji delete w pliku /admin/rooms.php. Zaleca się również aktualizację systemu do najnowszej wersji po wydaniu łatki.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in code-projects Hotel and Tourism Reservation 1.0. The impacted element is an unknown function of the file /admin/rooms.php of the component Room Management Page. The manipulation of the argument delete results in sql injection. It is possible to launch the attack remotely. The exploit is now public and may be used.

