CVE-2026-14767
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
W aplikacji CodeAstro Ecommerce Website 1.0 wykryto podatność na iniekcję SQL w pliku /ecommerce-website-php/customer/confirm.php. Atakujący może zdalnie manipulować parametrem invoice_no, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
Ocena ryzyka
Ryzyko obejmuje możliwość kradzieży danych klientów, modyfikacji zawartości bazy danych oraz potencjalne przejęcie kontroli nad aplikacją. Opublikowany exploit ułatwia przeprowadzenie ataku przez nieautoryzowane osoby.
Rekomendacja
Należy natychmiast zaktualizować aplikację do najnowszej wersji lub zastosować poprawkę zabezpieczającą przed iniekcją SQL. Dodatkowo zaleca się walidację i sanityzację wszystkich danych wejściowych w parametrze invoice_no.
Oryginalny opis (angielski, źródło NVD)
A security flaw has been discovered in CodeAstro Ecommerce Website 1.0. This affects an unknown part of the file /ecommerce-website-php/customer/confirm.php of the component POST Parameter Handler. The manipulation of the argument invoice_no results in sql injection. The attack can be executed remotely. The exploit has been released to the public and may be used for attacks.

