CVE-2026-39109

🟠 Łataj w tym tygodniu

Wstrzyknięcie SQL w systemie zarządzania odwiedzającymi umożliwia nieautoryzowanym atakującym dostęp do danych.

CVSS

9.4

EPSS

0.2%

Exploit

none

Vendor

Opis źródłowy (NVD)

SQL Injection vulnerability in Apartment Visitors Management System Apartment Visitors Management System V1.1 within the username parameter of the login page (index.php). This allows an unauthenticated attacker to manipulate backend SQL queries during authentication and retrieve sensitive database contents.

sql-injection Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	9.4
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.2%
Opublikowano (NVD)	2026-04-20 18:16:27 UTC
Ostatnia modyfikacja (NVD)	2026-04-20 19:16:10 UTC

Referencje

https://github.com/efekaanakkar/Apartment-Visitors-Management-System-CVEs/ (cve@mitre.org)
https://phpgurukul.com/?sdm_process_download=1&download_id=21524 (cve@mitre.org)
https://phpgurukul.com/apartment-visitors-management-system-using-php-and-mysql/ (cve@mitre.org)