CRITICAL🇬🇧 English

CVE-2025-10878

SQL Injection w logowaniu AdminPando — pełne ominięcie uwierzytelnienia

CVSS 10.0v3.1pub. 2026-02-03upd. 2026-02-12

W aplikacji Fikir Odalari AdminPando 1.0.1 wykryto podatność SQL injection w formularzu logowania, umożliwiającą nieuwierzytelnionemu atakującemu całkowite ominięcie mechanizmu uwierzytelnienia. Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej instalacji tego oprogramowania.

Pokaż oryginał (EN)

A SQL injection vulnerability exists in the login functionality of Fikir Odalari AdminPando 1.0.1 before 2026-01-26. The username and password parameters are vulnerable to SQL injection, allowing unauthenticated attackers to bypass authentication completely. Successful exploitation grants full administrative access to the application, including the ability to manipulate the public-facing website content (HTML/DOM manipulation).

🤖 Analiza AI
Jak działa

Parametry username oraz password przesyłane podczas logowania nie są prawidłowo walidowane ani sanityzowane przed przekazaniem do zapytania SQL. Atakujący może wstrzyknąć złośliwy kod SQL (SQL injection) bezpośrednio w te pola, powodując, że baza danych zinterpretuje zapytanie w sposób pomijający weryfikację hasła i tożsamości użytkownika. Nie jest wymagane posiadanie żadnych danych uwierzytelniających ani wcześniejszy dostęp do systemu — atak można przeprowadzić zdalnie przez sieć bez interakcji ze strony ofiary.

Skutki

Skuteczne wykorzystanie podatności daje atakującemu pełny dostęp administracyjny do aplikacji, w tym możliwość manipulacji treścią publicznej strony internetowej (HTML/DOM manipulation) oraz kontrolę nad wszystkimi funkcjami panelu administracyjnego.

Mitygacja

Należy niezwłocznie zaktualizować aplikację Fikir Odalari AdminPando do wersji wydanej po 2026-01-26, która eliminuje opisaną podatność. Szczegóły dostępne w referencjach producenta oraz w opublikowanym raporcie badacza. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do panelu logowania wyłącznie do zaufanych adresów IP na poziomie firewalla.

Kogo dotyczy

Fikir Odalari AdminPando w wersji 1.0.1 przed aktualizacją z dnia 2026-01-26.

Uwagi

Podatność została odkryta i zgłoszona przez Onurcana Genca (onurcangenc.com.tr). Publiczny kod proof-of-concept dostępny jest w repozytorium GitHub: github.com/onurcangnc/CVE-2025-10878-AdminPandov1.0.1-SQLi.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Omran Fikir Odalari Adminpando

    APP
    Omran
    ≤ 1.0.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLiAuth Bypass
CWE
Referencje
CVE-2025-10878 — SQL Injection w logowaniu AdminPando — pełne ominięcie uwierzytelnienia — CRITICAL 10.0 | CVEbaza.pl