CVE-2026-3843
KrytyczneStreszczenie
System automatyzacji stacji benzynowej Nefteprodukttekhnika BUK TS-G w wersji 2.9.1 na systemie Linux zawiera podatność typu SQL Injection w module konfiguracji systemu. Zdalny atakujący może wysłać specjalnie przygotowane żądania HTTP POST do punktu końcowego /php/request.php, aby wykonać dowolne polecenia SQL.
Ocena ryzyka
Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu oraz danych organizacji.
Rekomendacja
Zaleca się aktualizację systemu do najnowszej wersji, która eliminuje tę podatność, oraz wdrożenie odpowiednich zabezpieczeń, aby ograniczyć możliwość wysyłania nieautoryzowanych żądań.
Oryginalny opis (angielski, źródło NVD)
Nefteprodukttekhnika BUK TS-G Gas Station Automation System 2.9.1 on Linux contains a SQL Injection vulnerability (CWE-89) in the system configuration module. A remote attacker can send specially crafted HTTP POST requests to the /php/request.php endpoint via the sql parameter in application/x-www-form-urlencoded data (e.g., action=do&sql=<query_here>&reload_driver=0) to execute arbitrary SQL commands and potentially achieve remote code execution.

