CVE-2026-4842itsourcecode Online Enrollment System 1.0版本中存在严重的SQL注入漏洞。该问题位于/sms/grades/index.php文件的参数处理逻辑中,由于未对用户输入的deptid参数进行严格过滤,导致攻击者可远程构造恶意SQL语句。利用此漏洞可能导致数据库敏感信息泄露、数据篡改或破坏,且无需任何用户交互即可被利用。
该漏洞的根本原因是应用程序在处理HTTP GET/POST请求时,缺乏对输入参数的安全过滤和预编译处理。在/sms/grades/index.php页面中,当调用编辑功能时,系统直接获取用户提交的'deptid'参数并将其拼接到后台SQL查询语句中。由于未使用PDO或mysqli等预处理机制,攻击者可以通过注入SQL控制字符(如单引号、注释符)改变查询语义。根据CVSS向量分析,该攻击无需认证(PR:N)且可远程发起(AV:N),成功利用可导致机密性、完整性和可用性受损。