CVE-2026-38581
KrytyczneCVSS 9.8Streszczenie
W podatności CVE-2026-38581 występuje luka typu SQL Injection w damasac thaipalliative_lte w wersji do 3.0, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń SQL poprzez parametry idFormMain i id w pliku ezform.php.
Ocena ryzyka
Atakujący mogą wykorzystać tę lukę do uzyskania dostępu do wrażliwych danych w bazie danych, co może prowadzić do poważnych naruszeń bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji oprogramowania oraz wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych i użycie zapytań parametryzowanych.
Oryginalny opis (angielski, źródło NVD)
SQL Injection vulnerability in damasac thaipalliative_lte through version 3.0 allows remote attackers to execute arbitrary SQL commands via the idFormMain parameter to /substudy/ezform.php (line 14) and the id parameter (line 49). The parameters are concatenated directly into SQL queries without sanitization or parameterized statements.

