SQL injekcija u SourceCodester Pharmacy sistemu - CVE-2026-7130
SQL injekcija u SourceCodester Pharmacy sistemu omogućava napadačima pristup bazi podataka. Eksploit je javno dostupan i aktivno se koristi.
Šta se desilo?
Otkrivena je kritična ranjivost SQL injekcije u SourceCodester Pharmacy Sales and Inventory System verzije 1.0. Napada se kroz parametar ID u datoteci /ajax.php?action=delete_category, što dozvoljava udaljenom napadaču da manipuliše bazom podataka. Eksploit je već objavljen i aktivno se koristi.
Koga pogađa?
Uglavnom male i srednje apoteke i zdravstvene ustanove koje koriste SourceCodester Pharmacy Sales and Inventory System verziju 1.0. Ugroženi su svi korisnici sa pristupom web aplikaciji, kao i cela baza podataka sa informacijama o lekovima, pacijentima i transakcijama.
Kako se zaštititi?
- Odmah ažurirajte na noviju verziju SourceCodester Pharmacy sistema ako je dostupna
- Implementirajte Web Application Firewall (WAF) pravila da blokirate SQL injekcijske napade
- Ograničite pristup /ajax.php samo autentificiranim korisnicima sa najmanjim potrebnim dozvolama
- Koristite prepared statements i parametrizovane upite u kodu aplikacije
- Redovno monitorujte logove baze podataka za sumnjive SQL upite
- Napravite backup baze podataka pre nego što primenite bilo kakve ispravke
Tehnički detalji
CVE-2026-7130 je SQL injekcijska ranjivost sa CVSS skorom 7.5 (visok rizik). Ugroženi parametar je ID u ajax.php datoteci sa action=delete_category. Napad se izvršava udaljeno (remote) bez potrebe za dodatnom autentifikacijom. Eksploit kod je javno dostupan.
Preporuka Sajber Radara
Organizacije koje koriste ovaj sistem trebaju da deluju hitno - ovo je aktivno iskorišćena ranjivost sa javno dostupnim eksploitima. Preporuka je da se sistem odmah izbaci iz upotrebe ili izoluje iz mreže dok se ne ispravka, uz obaveznu informaciju dobavljača o dostupnosti zakrpe.