Katalog CVE

CVE-2026-54419

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.59%

Percentyl 43 — wyżej niż 43% wszystkich znanych CVE

Streszczenie

System zarządzania hotelami PIAF-HMS zawiera wiele podatności na nieautoryzowane wstrzyknięcia SQL. Aplikacja nie posiada mechanizmu uwierzytelniania i bezpośrednio przekazuje parametry HTTP od użytkownika do przestarzałych wywołań mysql_query() bez sanitizacji.

Ocena ryzyka

Atakujący zdalny, nieautoryzowany może wstrzykiwać dowolne zapytania SQL, co pozwala na odczyt, modyfikację lub usunięcie rekordów w bazie danych. To stwarza poważne zagrożenie dla integralności i poufności danych.

Rekomendacja

Zaleca się wprowadzenie mechanizmu uwierzytelniania oraz zastosowanie bezpiecznych metod dostępu do bazy danych, takich jak przygotowane zapytania, aby zapobiec wstrzyknięciom SQL.

Oryginalny opis (angielski, źródło NVD)

claudiopizzillo PIAF-HMS (PBX-In-A-Flash Hotel Management System; no released versions, latest commit 389d2633441b65ced1c104212cd62be2bfca21e5) contains multiple unauthenticated SQL injection vulnerabilities. The application has no authentication mechanism and passes user-supplied HTTP parameters directly into deprecated mysql_query() calls via string concatenation, without sanitization, escaping, or parameterization. Affected sinks include rooms.php (DELETE FROM Rooms WHERE ID = $_GET['ID'], unquoted numeric context), checkuser.php (WHERE Ext = '$_GET["Ext"]'), ec.php (date/extension parameters in a WHERE), checkin.php and wakeup.php ($_POST values into INSERT statements), bills.php ($_POST fields built into a WHERE clause), and rates.php and checkout.php. A remote, unauthenticated attacker can inject arbitrary SQL to read, modify, or delete arbitrary records in the backing database (e.g. rooms.php?ID=1 OR 1=1 deletes all room records). Note: queries run via the legacy mysql_* extension, which does not permit stacked statements.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS