CVE-2026-4779SourceCodester Sales and Inventory System 1.0版本被发现存在安全漏洞。该漏洞源于`update_customer_details.php`文件中HTTP GET参数处理程序未正确过滤输入参数`sid`。攻击者可利用此缺陷实施SQL注入攻击,远程操纵数据库。由于漏洞利用难度低且无需用户交互,可能导致敏感信息泄露及数据完整性受损,建议尽快修复。
漏洞的核心成因在于SourceCodester Sales and Inventory System 1.0版本的`update_customer_details.php`文件中存在不安全的数据库查询处理方式。在处理通过HTTP GET方法提交的`sid`参数时,应用程序未能实施有效的输入过滤机制,直接将该参数拼接至SQL查询语句中执行。这一设计缺陷为SQL注入攻击提供了可乘之机。攻击者只需具备低权限用户身份(PR:L),即可构造包含特定SQL元字符(如单引号、注释符)或UNION查询的恶意Payload发送至服务器。一旦攻击成功,攻击者不仅可以读取数据库中的敏感信息(如客户列表、管理员密码),还可能篡改或删除关键数据。由于攻击无需用户交互(UI:N)且可通过网络发起(AV:N),该漏洞具有较高的可利用性,严重威胁系统的机密性、完整性和可用性。