CVE-2026-14737
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
W platformie Hanwang e-Face General Management Platform 6.3.5.4 wykryto podatność SQL Injection w pliku /sysAuthStr/querySysAuthStr.do. Atakujący może zdalnie manipulować argumentem order, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.
Ocena ryzyka
Organizacja narażona jest na zdalne przejęcie kontroli nad bazą danych, co może skutkować wyciekiem poufnych danych lub ich modyfikacją.
Rekomendacja
Należy natychmiast zaktualizować platformę do najnowszej wersji lub zastosować tymczasowe zabezpieczenia, takie jak walidacja danych wejściowych i użycie zapytań parametryzowanych.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was identified in Hanwang e-Face General Management Platform 6.3.5.4. This impacts an unknown function of the file /sysAuthStr/querySysAuthStr.do. The manipulation of the argument order leads to sql injection. It is possible to initiate the attack remotely. The exploit is publicly available and might be used.

