Katalog CVE

CVE-2026-38581

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W podatności CVE-2026-38581 występuje luka typu SQL Injection w damasac thaipalliative_lte w wersji do 3.0, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń SQL poprzez parametry idFormMain i id w pliku ezform.php.

Ocena ryzyka

Atakujący mogą wykorzystać tę lukę do uzyskania dostępu do wrażliwych danych w bazie danych, co może prowadzić do poważnych naruszeń bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji oprogramowania oraz wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych i użycie zapytań parametryzowanych.

Oryginalny opis (angielski, źródło NVD)

SQL Injection vulnerability in damasac thaipalliative_lte through version 3.0 allows remote attackers to execute arbitrary SQL commands via the idFormMain parameter to /substudy/ezform.php (line 14) and the id parameter (line 49). The parameters are concatenated directly into SQL queries without sanitization or parameterized statements.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS