Katalog CVE

CVE-2026-3843

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

System automatyzacji stacji benzynowej Nefteprodukttekhnika BUK TS-G w wersji 2.9.1 na systemie Linux zawiera podatność typu SQL Injection w module konfiguracji systemu. Zdalny atakujący może wysłać specjalnie przygotowane żądania HTTP POST do punktu końcowego /php/request.php, aby wykonać dowolne polecenia SQL.

Ocena ryzyka

Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu oraz danych organizacji.

Rekomendacja

Zaleca się aktualizację systemu do najnowszej wersji, która eliminuje tę podatność, oraz wdrożenie odpowiednich zabezpieczeń, aby ograniczyć możliwość wysyłania nieautoryzowanych żądań.

Oryginalny opis (angielski, źródło NVD)

Nefteprodukttekhnika BUK TS-G Gas Station Automation System 2.9.1 on Linux contains a SQL Injection vulnerability (CWE-89) in the system configuration module. A remote attacker can send specially crafted HTTP POST requests to the /php/request.php endpoint via the sql parameter in application/x-www-form-urlencoded data (e.g., action=do&sql=<query_here>&reload_driver=0) to execute arbitrary SQL commands and potentially achieve remote code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS