Katalog CVE

CVE-2026-36232

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W systemie rejestracji studentów itsourcecode v1.0 odkryto podatność na wstrzyknięcie SQL w pliku instructorClasses.php. Problem wynika z bezpośredniego łączenia parametru 'classId' z $_GET['classId'] w zapytaniu SQL bez jakiejkolwiek sanitizacji lub walidacji.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do bazy danych, co może skutkować ujawnieniem wrażliwych informacji lub manipulacją danymi. Organizacja jest narażona na ataki, które mogą wpłynąć na integralność i poufność danych.

Rekomendacja

Zaleca się wprowadzenie odpowiednich mechanizmów sanitizacji i walidacji danych wejściowych przed ich użyciem w zapytaniach SQL. Należy również przeprowadzić audyt bezpieczeństwa aplikacji w celu identyfikacji i naprawy innych potencjalnych podatności.

Oryginalny opis (angielski, źródło NVD)

A SQL injection vulnerability was found in the instructorClasses.php file of itsourcecode Online Student Enrollment System v1.0. The reason for this issue is that the 'classId' parameter from $_GET['classId'] is directly concatenated into the SQL query without any sanitization or validation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS