CVE-2026-13488
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
W systemie SourceCodester Class and Exam Timetabling System 1.0/7.php wykryto podatność na iniekcję SQL w pliku /preview7.php. Manipulacja argumentem course_year_section umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany w rzeczywistych atakach.
Ocena ryzyka
Atakujący może zdalnie manipulować zapytaniami SQL, co może prowadzić do nieautoryzowanego dostępu do bazy danych, wycieku poufnych danych lub ich modyfikacji.
Rekomendacja
Należy natychmiast zaktualizować system do najnowszej wersji lub zastosować poprawkę zabezpieczającą. Dodatkowo zaleca się walidację i sanityzację wszystkich danych wejściowych w pliku /preview7.php.
Oryginalny opis (angielski, źródło NVD)
A security flaw has been discovered in SourceCodester Class and Exam Timetabling System 1.0/7.php. Affected by this vulnerability is an unknown functionality of the file /preview7.php. The manipulation of the argument course_year_section results in sql injection. The attack may be launched remotely. The exploit has been released to the public and may be used for attacks.

