CVE-2026-37595SourceCodester Online Employees Work From Home Attendance System v1.0版本被发现存在SQL注入安全漏洞。该漏洞源于系统在/wfh_attendance/admin/manage_employee.php文件中未能正确处理用户提供的输入数据。由于缺乏有效的过滤机制,拥有高权限的攻击者可以通过构造特定的恶意SQL查询语句,操纵后端数据库执行非预期的命令,进而可能导致敏感数据泄露。
该漏洞属于典型的SQL注入漏洞,具体发生于管理员端的员工管理模块。在源文件`/wfh_attendance/admin/manage_employee.php`中,应用程序直接接收用户提交的参数,并将其动态拼接到SQL查询语句中,未实施有效的输入验证或使用参数化查询。攻击者必须拥有管理员级别的权限(PR:H)才能访问此漏洞接口。利用过程中,攻击者可以通过在HTTP请求参数中注入恶意SQL语法(如单引号闭合、UNION SELECT语句),欺骗后端数据库执行非授权操作。虽然权限要求较高,但一旦利用成功,攻击者即可读取数据库中的敏感信息(C:L),甚至可能绕过某些逻辑限制,对系统安全构成威胁。