Katalog CVE

CVE-2026-14767

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

W aplikacji CodeAstro Ecommerce Website 1.0 wykryto podatność na iniekcję SQL w pliku /ecommerce-website-php/customer/confirm.php. Atakujący może zdalnie manipulować parametrem invoice_no, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

Ocena ryzyka

Ryzyko obejmuje możliwość kradzieży danych klientów, modyfikacji zawartości bazy danych oraz potencjalne przejęcie kontroli nad aplikacją. Opublikowany exploit ułatwia przeprowadzenie ataku przez nieautoryzowane osoby.

Rekomendacja

Należy natychmiast zaktualizować aplikację do najnowszej wersji lub zastosować poprawkę zabezpieczającą przed iniekcją SQL. Dodatkowo zaleca się walidację i sanityzację wszystkich danych wejściowych w parametrze invoice_no.

Oryginalny opis (angielski, źródło NVD)

A security flaw has been discovered in CodeAstro Ecommerce Website 1.0. This affects an unknown part of the file /ecommerce-website-php/customer/confirm.php of the component POST Parameter Handler. The manipulation of the argument invoice_no results in sql injection. The attack can be executed remotely. The exploit has been released to the public and may be used for attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS