Критична SQL-ін'єкція в PIAF-HMS без автентифікації

Вразливість SQL-ін'єкції в PIAF-HMS дозволяє віддаленому зловмиснику виконувати довільні запити без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.
CVE-2026-54419CVSS 9.3Web

Критична SQL-ін'єкція в PIAF-HMS без автентифікації

Вразливість SQL-ін'єкції в PIAF-HMS дозволяє віддаленому зловмиснику виконувати довільні запити без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.

CVSS
9.3 CRITICAL
EPSS
43.76%
Активно використовується
немає в KEV
Продукт
-

Що відомо

PIAF-HMS (PBX-In-A-Flash Hotel Management System) містить кілька вразливостей SQL-ін'єкції, що не потребують автентифікації. Уразливість виникає через відсутність механізму автентифікації та небезпечне використання застарілих mysql_query() без санітизації введених даних.

Бізнес-вплив

Вразливість дозволяє віддаленому зловмиснику виконувати довільні SQL-запити, що може призвести до читання, модифікації або видалення даних у базі готельної системи. Це створює серйозні ризики для цілісності та конфіденційності інформації, а також може порушити роботу бізнес-процесів, пов'язаних з управлінням готелем.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно перевірити наявність оновлень від розробника PIAF-HMS та застосувати їх. Якщо оновлень немає, слід обмежити доступ до уразливих скриптів, впровадити додаткові механізми автентифікації та фільтрації вхідних параметрів, а також ретельно аналізувати журнали доступу на предмет підозрілої активності.

Джерела