CVE-2026-55740: SQL-ін'єкція без автентифікації у bus-ticket

Критична SQL-ін'єкція у Nur-Alam39 bus-ticket дозволяє віддалено читати дані бази без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.
CVE-2026-55740CVSS 9.3Web

CVE-2026-55740: SQL-ін'єкція без автентифікації у bus-ticket

Критична SQL-ін'єкція у Nur-Alam39 bus-ticket дозволяє віддалено читати дані бази без автентифікації. Рекомендується перевірити оновлення та обмежити доступ.

CVSS
9.3 CRITICAL
EPSS
28.56%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У додатку Nur-Alam39 bus-ticket виявлено критичну вразливість SQL-ін'єкції у файлі bus_info.php через параметр busid, який не проходить санітизацію. Зловмисник може виконати довільні SQL-запити до бази даних bus_service без автентифікації.

Бізнес-вплив

Вразливість дозволяє віддаленому атакуючому отримати несанкціонований доступ до даних бази даних, що може призвести до витоку конфіденційної інформації або порушення цілісності даних. Особливо небезпечно, що додаток використовує обліковий запис MySQL root без пароля, що значно підвищує ризики компрометації системи.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від розробника, обмежити доступ до вразливого параметра, впровадити параметризовані запити або належну санітизацію вхідних даних. Також слід змінити облікові дані бази даних на більш безпечні, переглянути журнали доступу на предмет підозрілої активності та обмежити права користувача бази даних.

Джерела