CVE-2026-53690
KrytyczneCVSS 9.3Streszczenie
W systemie Redeight CMS w wersji 1.0 wykryto podatność na wstrzykiwanie SQL w parametrze "userEmail" w punkcie końcowym POST "/admin/index.php". Aplikacja nie oczyszcza danych wejściowych i bezpośrednio interpoluje je do zapytań SQL bez użycia przygotowanych wyrażeń, co umożliwia nieuwierzytelnionym zdalnym atakującym wykonanie dowolnych poleceń SQL i wyodrębnienie wrażliwych danych z bazy.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowany dostęp do bazy danych, wykraść dane uwierzytelniające, dane osobowe użytkowników lub inne poufne informacje, co może prowadzić do naruszenia bezpieczeństwa danych i utraty reputacji organizacji.
Rekomendacja
Należy natychmiast zaktualizować system Redeight CMS do najnowszej wersji, w której podatność została załatana, oraz wdrożyć przygotowane wyrażenia (prepared statements) dla wszystkich zapytań SQL.
Oryginalny opis (angielski, źródło NVD)
An SQL Injection vulnerability exists in Redeight CMS version 1.0 via the "userEmail" parameter in the POST "/admin/index.php" login endpoint. The application fails to sanitize user input and directly interpolates it into SQL queries without using prepared statements, which allows unauthenticated remote attackers to execute arbitrary SQL commands and extract sensitive database information.

