Katalog CVE

CVE-2026-55740

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

W aplikacji Nur-Alam39 bus-ticket występuje podatność na nieautoryzowaną iniekcję SQL w pliku bus_info.php. Parametr busid, otrzymywany przez HTTP POST, jest bezpośrednio włączany do zapytania MySQL bez sanitizacji, co umożliwia atakującemu zdalne wstrzyknięcie dowolnego SQL.

Ocena ryzyka

Podatność ta pozwala na odczytanie dowolnych danych z bazy danych bus_service przez nieautoryzowanego atakującego. Dodatkowo, aplikacja łączy się z bazą danych jako konto root MySQL z pustym hasłem, co zwiększa ryzyko.

Rekomendacja

Zaleca się wprowadzenie odpowiedniej sanitizacji i parametryzacji zapytań SQL oraz zabezpieczenie konta bazy danych silnym hasłem. Należy również rozważyć ograniczenie dostępu do bazy danych.

Oryginalny opis (angielski, źródło NVD)

Nur-Alam39 bus-ticket (no released versions; latest commit 459cabdbeb99c00225b26e46e3c2c30ae1de7bad) contains an unauthenticated SQL injection vulnerability in bus_info.php. The busid parameter received via HTTP POST is concatenated directly into a MySQL query (select * from bus_info where id=$busid) without sanitization, escaping, or parameterization, and in a numeric (unquoted) context. A remote, unauthenticated attacker can inject arbitrary SQL — for example a UNION-based payload such as busid=-1 UNION SELECT 1,2,3,4,5,6 — to read arbitrary data from the bus_service database. The application connects to the database as the MySQL root account with an empty password, increasing the potential impact. The query is executed via mysqli_query(), which does not permit stacked (semicolon-separated) statements.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS