Krytyczne podatności SQL Injection w PIAF-HMS (PBX-In-A-Flash Hotel Management System)
CVE-2026-54419 to krytyczna podatność SQL Injection w systemie PIAF-HMS, umożliwiająca zdalne ataki bez uwierzytelnienia. Zalecane szybkie działania zabezpieczające.
- CVSS
- 9.3 CRITICAL
- EPSS
- 43.76%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
PIAF-HMS, system zarządzania hotelem, zawiera liczne podatności SQL Injection umożliwiające zdalne, nieautoryzowane wstrzyknięcie i wykonanie dowolnych zapytań SQL. Brak mechanizmu uwierzytelniania oraz bezpośrednie przekazywanie parametrów HTTP do zapytań mysql_query() bez sanitizacji stwarza poważne ryzyko dla integralności i poufności danych.
Wpływ biznesowy
Atakujący może zdalnie odczytać, zmodyfikować lub usunąć dane w bazie systemu hotelowego, co może prowadzić do utraty danych, zakłóceń w działaniu usług oraz potencjalnych strat finansowych i reputacyjnych. Brak uwierzytelniania zwiększa ryzyko nieautoryzowanego dostępu, co czyni infrastrukturę podatną na poważne naruszenia bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się natychmiastową weryfikację dostępnych aktualizacji lub poprawek od dostawcy PIAF-HMS. W międzyczasie ograniczyć dostęp do systemu, monitorować logi pod kątem podejrzanej aktywności oraz rozważyć wdrożenie zapór aplikacyjnych (WAF) blokujących podejrzane zapytania SQL. Priorytetowo traktować audyt i poprawę mechanizmów uwierzytelniania oraz sanitizacji danych wejściowych.