Krytyczna luka SQL Injection w Nur-Alam39 bus-ticket w pliku bus_info.php

Opis krytycznej luki SQL Injection w Nur-Alam39 bus-ticket umożliwiającej zdalny dostęp do bazy danych. Zalecenia dla administratorów i wpływ na biznes.
CVE-2026-55740CVSS 9.3Web

Krytyczna luka SQL Injection w Nur-Alam39 bus-ticket w pliku bus_info.php

Opis krytycznej luki SQL Injection w Nur-Alam39 bus-ticket umożliwiającej zdalny dostęp do bazy danych. Zalecenia dla administratorów i wpływ na biznes.

CVSS
9.3 CRITICAL
EPSS
28.56%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Aplikacja Nur-Alam39 bus-ticket zawiera krytyczną lukę SQL Injection w pliku bus_info.php, gdzie parametr busid jest wstrzykiwany bezpośrednio do zapytania SQL bez odpowiedniej walidacji. Atakujący może zdalnie, bez uwierzytelnienia, wykonać dowolne zapytania SQL, uzyskując dostęp do danych bazy bus_service.

Wpływ biznesowy

Luka umożliwia zdalne wykonanie nieautoryzowanych zapytań SQL na bazie danych, co może prowadzić do ujawnienia poufnych informacji lub modyfikacji danych. Ponieważ aplikacja łączy się z bazą jako użytkownik root bez hasła, potencjalne szkody są znacznie powiększone. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo ją adresować, aby zapobiec poważnym naruszeniom bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się natychmiastową weryfikację i aktualizację aplikacji do wersji zawierającej poprawkę od dostawcy. W międzyczasie ograniczyć dostęp do aplikacji, monitorować logi pod kątem podejrzanych zapytań SQL oraz rozważyć zastosowanie zapór aplikacyjnych (WAF) blokujących podejrzane żądania. Należy także zmienić konfigurację bazy danych, aby nie używać konta root bez hasła i stosować zasadę najmniejszych uprawnień.

Źródła