SQL injection ranjivost u Courier Management System-u otkrila pristup bazi podataka
SQL injection ranjivost u itsourcecode Courier Management System verzije 1.0 omogućava napadačima pristup bazi podataka preko edit_parcel.php datoteke.
Šta se desilo?
Otkrijena je kritična SQL injection ranjivost u sistemu za upravljanje kurirskom službom itsourcecode, verzija 1.0. Napadač može manipulisati parametrom ID u datoteci edit_parcel.php i injektovati SQL kodove da pristupi ili modifikuje bazu podataka. Exploit je već dostupan javnosti.
Koga pogađa?
Pogođeni su svi korisnici i administratori kurirskih i logističkih preduzeća koja koriste itsourcecode Courier Management System verziju 1.0. Posebno su ugroženi podaci o pošiljkama, klijentima i financijskim transakcijama.
Kako se zaštititi?
- Hitno ažurirajte Courier Management System na noviju verziju čim bude dostupna
- Ograničite pristup datoteci edit_parcel.php samo autentifikovanim korisnicima kroz web server konfiguraciju
- Primenite web application firewall (WAF) kako biste blokovali pokušaje SQL injection napada
- Proverite logove pristupa za sumnjive zahteve sa "OR", "UNION" ili drugim SQL naredbama u URL parametrima
- Napravite sigurnosnu kopiju baze podataka pre nego što primenite bilo kakve promene
- Razmotriti privremeno onemogućavanje ili zaštitu kritičnih funkcija do što je pre moguće
Tehnički detalji
CVE-2026-7077 je SQL injection ranjivost sa CVSS skorom 7.5 (visok nivo ozbiljnosti). Ciljna datoteka je /edit_parcel.php, a napad se može izvršiti udaljeno bez potrebe za autentifikacijom. Javno dostupan exploit povećava rizik od bliskih napada.
Preporuka Sajber Radara
Preporučujemo svim organizacijama koje koriste ovaj sistem da hitno zakrpe ranjivost i provere logove za znakove hakovanja. SQL injection može dovesti do kompletnog kompromitovanja baze podataka i krađe osetljivih informacija.