CRITICAL🇬🇧 English

CVE-2025-46188

SQL Injection w SourceCodester Client Database Management System 1.0

CVSS 9.8v3.1pub. 2025-05-09upd. 2025-05-22

SourceCodester Client Database Management System 1.0 zawiera krytyczną podatność typu SQL Injection w pliku superadmin_phpmyadmin.php. Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL, co może prowadzić do pełnego przejęcia bazy danych i systemu.

Pokaż oryginał (EN)

SourceCodester Client Database Management System 1.0 is vulnerable to SQL Injection in superadmin_phpmyadmin.php.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do zapytań SQL w pliku superadmin_phpmyadmin.php. Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio przez sieć, bez konieczności uwierzytelnienia (wektor AV:N, PR:N). Jedna z referencji wskazuje na możliwość eskalacji ataku SQL Injection do zdalnego wykonania kodu (RCE), co czyni podatność szczególnie niebezpieczną.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do pełnej zawartości bazy danych, modyfikować lub usuwać dane, a potencjalnie doprowadzić do zdalnego wykonania kodu (RCE) na serwerze. Podatność zagraża poufności, integralności i dostępności systemu w najwyższym stopniu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu sieciowego do podatnego pliku superadmin_phpmyadmin.php na poziomie firewall lub serwera WWW oraz wdrożenie mechanizmów walidacji danych wejściowych po stronie serwera.

Kogo dotyczy

SourceCodester Client Database Management System w wersji 1.0

Uwagi

Jedna z referencji (medium.com) opisuje technikę eskalacji SQL Injection do RCE, co sugeruje istnienie publicznie dostępnej dokumentacji eksploitacji tej klasy podatności w kontekście podobnych systemów.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lerouxyxchire Client Database Management System

    APP
    Lerouxyxchire
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-46189CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46190CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46191CRITICAL9.8PL ✓ten sam produkt

Dowolne przesyłanie plików i RCE w SourceCodester Client Database Management System 1.0

CVE-2025-46192CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SourceCodester Client Database Management System 1.0

CVE-2025-46193CRITICAL9.8PL ✓ten sam produkt

RCE poprzez Arbitrary File Upload w SourceCodester Client Database Management System 1.0

CVE-2025-46188 — SQL Injection w SourceCodester Client Database Management System 1.0 — CRITICAL 9.8 | CVEbaza.pl