CVE-2026-4825SourceCodester Sales and Inventory System 1.0版本存在SQL注入漏洞。该漏洞位于/update_sales.php文件的HTTP GET参数处理逻辑中,由于未对用户输入的sid参数进行严格过滤,攻击者可利用此漏洞远程执行恶意SQL语句,窃取数据库信息或破坏数据完整性。
该漏洞源于SourceCodester Sales and Inventory System 1.0在处理HTTP GET请求时存在严重的输入验证缺失。具体受影响文件为/update_sales.php,程序在处理更新销售记录功能时,直接将用户提交的GET参数“sid”拼接到SQL查询语句中,未实施任何过滤或使用参数化查询。攻击者可利用此SQL注入漏洞,通过精心构造的恶意Payload(如基于联合查询的注入或布尔盲注)操纵后端数据库。根据CVSS评分向量,此漏洞攻击复杂度低,无需用户交互,攻击者可远程发起攻击,进而导致数据库敏感信息泄露、关键数据被篡改或删除,严重威胁系统的机密性、完整性和可用性。