Šta se desilo?

Otkrivena je ozbiljna ranjivost SQL injekcije u Online Lot Reservation System kompanija code-projects. Greška se nalazi u datoteci /loginuser.php gde se parametri email i password ne validiraju pravilno pre nego što se prosleđuju bazi podataka. Napadač može iskoristiti ovu ranjivost da izvršiti proizvoljne SQL komande i pristupi osjetljivim podacima.

Koga pogađa?

Uglavnom su ugroženi korisnici Online Lot Reservation System verzije 1.0 i starije. Ako vaša organizacija koristi ovaj sistem za upravljanje licitacijama ili rezervacijama, podaci korisnika - uključujući kredencijale i lične informacije - mogu biti izloženi riziku.

Kako se zaštititi?

  • Hitno proverite da li vaš sistem koristi pogođenu verziju Online Lot Reservation System 1.0 ili stariju
  • Tražite od proizvodjača ažuriranu verziju sa zakrpom za SQL injekciju
  • Do primene zakrpe, implementirajte Web Application Firewall (WAF) pravila koja blokira sumnjive SQL karaktere u login parametrima
  • Promenite sve lozinke administratora i ozbiljnih korisnika
  • Pregledajte logove pristupa bazi podataka u poslednje vreme za znakove eksploatacije
  • Ograničite direktan pristup bazi podataka samo neophodnim komponentama sistema

Tehnički detalji

CVE ID: CVE-2026-7131. Ranjivost se nalazi u funkciji koja obrađuje login podatke kroz parametre email i password. Bez adekvatne zaštite od SQL injekcija (npr. prepared statements), napadač može ubaciti SQL kod koji se izvršava direktno. Vektor napada je mrežni (remote), što znači da nije potreban fizički pristup sistemu. Exploit je javno obelodanjen.

Preporuka Sajber Radara

Ako koristite Online Lot Reservation System, odmah proverite verziju i primenite dostupnu zakrpu. SQL injekcije su među najvišim rizicima jer mogu dovesti do potpunog kompromitovanja baze podataka. Ne čekajte - to je obaveza, ne opcija.