SQL injekcija u Sunnet CTMS sistemu omogućava manipulaciju bazom podataka
SQL injekcija u Sunnet CTMS dozvoljava autentifikovnim napadačima manipulaciju baze podataka. CVSS skor: 8.8.
Šta se desilo?
Otkrivena je ozbiljna SQL injekcija ranjiivost u sistemu CTMS (Customer Transaction Management System) koji je razvila kompanija Sunnet. Ovaj nedostatak u bezbednosti dozvoljava autentifikovanih napadačima da ubace proizvoljne SQL komande u bazu podataka, čime mogu pristupiti, menjati ili brisati osjetljive informacije.
Koga pogađa?
Direktno su ugroženi svi korisnici i kompanije koje koriste Sunnet CTMS sisteme za upravljanje transakcijama sa kupcima. Pošto je potrebna prethodna autentifikacija, rizik je veći od strane zloupotrebljenih korisničkih naloga ili iznutrašnjih pretnji. Posebno su ugroženi finansijski i maloprodajni sektori koji se oslanjaju na ovaj sistem.
Kako se zaštititi?
- Primite sigurnosnu zakrpu od Sunnet-a čim bude dostupna i primenite je bez odlaganja
- Ograničite pristup CTMS sistemu samo na odobrene i pouzdane korisnike
- Sprovedite detaljno nadgledanje aktivnosti baze podataka u potrazi za sumnjivim SQL upitima
- Redovno pregledavajte i rotejte lozinke administratorskog naloga
- Implementirajte dodatne kontrole autentifikacije kao što su dvofaktorska autentifikacija
- Napravite sigurnosne kopije podataka pre nego što primenite zakrpu
Tehnički detalji
CVE-2026-7489 je klasifikovana sa CVSS skorom 8.8 (VISOKI rizik). Ranjivost je tipa SQL Injection i zahtevaautentifikaciju napadača da bi je iskoristio. Kroz nju je moguće izvršiti neovlašćene operacije čitanja, pisanja i brisanja podataka u bazi.
Preporuka Sajber Radara
Čim proizvođač Sunnet-a izda sigurnosnu zakrpu za CVE-2026-7489, organizacije koje koriste CTMS sistem trebaju da je primene što je pre moguće. Paralelno sa tim, preporučujemo pojačanu kontrolu pristupa i detaljnije praćenje baze podataka.