Katalog CVE

CVE-2026-36233

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W systemie Online Student Enrollment System v1.0 zidentyfikowano podatność na wstrzykiwanie SQL w pliku assignInstructorSubjects.php. Atakujący mogą wstrzykiwać złośliwy kod przez parametr 'subjcode', który jest używany bez odpowiedniego oczyszczania lub walidacji w zapytaniach SQL.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do bazy danych, co stwarza poważne zagrożenie dla integralności i poufności danych studentów. Organizacja może być narażona na utratę danych oraz odpowiedzialność prawną.

Rekomendacja

Zaleca się wprowadzenie odpowiednich mechanizmów walidacji i oczyszczania danych wejściowych w aplikacji, aby zapobiec wstrzykiwaniu SQL. Należy również przeprowadzić audyt bezpieczeństwa bazy danych oraz aplikacji.

Oryginalny opis (angielski, źródło NVD)

A SQL injection vulnerability was found in the assignInstructorSubjects.php file of itsourcecode Online Student Enrollment System v1.0. The reason for this issue is that attackers can inject malicious code via the parameter "subjcode" and use it directly in SQL queries without the need for appropriate cleaning or validation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS