CVE-2026-36233
KrytyczneStreszczenie
W systemie Online Student Enrollment System v1.0 zidentyfikowano podatność na wstrzykiwanie SQL w pliku assignInstructorSubjects.php. Atakujący mogą wstrzykiwać złośliwy kod przez parametr 'subjcode', który jest używany bez odpowiedniego oczyszczania lub walidacji w zapytaniach SQL.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do bazy danych, co stwarza poważne zagrożenie dla integralności i poufności danych studentów. Organizacja może być narażona na utratę danych oraz odpowiedzialność prawną.
Rekomendacja
Zaleca się wprowadzenie odpowiednich mechanizmów walidacji i oczyszczania danych wejściowych w aplikacji, aby zapobiec wstrzykiwaniu SQL. Należy również przeprowadzić audyt bezpieczeństwa bazy danych oraz aplikacji.
Oryginalny opis (angielski, źródło NVD)
A SQL injection vulnerability was found in the assignInstructorSubjects.php file of itsourcecode Online Student Enrollment System v1.0. The reason for this issue is that attackers can inject malicious code via the parameter "subjcode" and use it directly in SQL queries without the need for appropriate cleaning or validation.

