CVE-2026-30534SourceCodester在线订餐系统v1.0在admin/manage_category.php接口处存在严重的SQL注入漏洞。由于系统未对“id”参数进行有效过滤,攻击者可利用低权限账户构造恶意SQL语句,从而窃取数据库敏感信息、篡改用户数据或进一步获取服务器控制权,对业务安全构成重大威胁。
该漏洞属于典型的SQL注入漏洞,其根源在于应用程序缺乏对用户输入的严格验证。在SourceCodester在线订餐系统v1.0的后端逻辑中,admin/manage_category.php脚本直接将用户传入的“id”参数拼接到SQL查询语句中,未使用预编译语句或进行转义处理。攻击者可以通过发送包含单引号、UNION操作符或注释符的特制HTTP请求,改变原始查询逻辑。由于CVSS向量显示权限要求为低(PR:L),攻击者仅需拥有普通用户权限即可利用此漏洞,进而读取数据库结构、导出管理员密码哈希,甚至写入WebShell。