На початку березня 2026 року спільнота кібербезпеки ідентифікувала серйозну уразливість безпеки у популярній системі itsourcecode University Management System версії 1.0. Проблема зачіпає адміністративний функціонал, створюючи ризик для систем та їхніх користувачів.
Виявлена експлуатація уразливості вже опублікована. Це посилює загрозу для навчальних закладів і IT-інфраструктур, які використовують це рішення, оскільки атака може бути виконана дистанційно, без автентифікації користувачем.Що сталося
В University Management System 1.0 виявлено критичну уразливість SQL injection. Проблемний код знаходиться у файлі /admin_single_student.php. Маніпуляція GET-параметром ID дозволяє зловмиснику впровадити шкідливі SQL-запити. Як наслідок, можлива несанкціонована взаємодія із базою даних.
Коли та як можлива атака
Експлуатація уразливості здійснюється віддалено — достатньо сформувати відповідний запит до зазначеного файлу з некоректним значенням параметра ID. Для здійснення атаки не потрібні права користувача і не потрібна взаємодія з боку жертви (UI:N, PR:N). Зафіксована вже робоча методика атаки.
Чому це важливо
SQL injection у адміністративному модулі — серйозна загроза для бізнесу і IT-інфраструктури. Потенційний зловмисник може отримати доступ до чутливих освітніх або особистих даних, змінювати інформацію у базі чи блокувати роботу системи. Це негативно впливає на безпеку та репутацію організації, створюючи необхідність своєчасного патчу безпеки.
Рекомендації
Адміністратори систем і відповідальні за кібербезпеку мають:
- Терміново перевірити наявність інсталяції itsourcecode University Management System 1.0.- Обмежити доступ до /admin_single_student.php.- Очікувати та встановити патч безпеки.- Розглянути якнайшвидший перехід на безпечнішу версію.- Проаналізувати журнали подій на предмет підозрілих запитів.Ці кроки допоможуть знизити ризик для систем і захистити дані від несанкціонованого доступу.Технічні деталі
Уразливість: SQL injection
Версія: itsourcecode University Management System 1.0 Файл: /admin_single_student.php Вектор атаки: Віддалено, без автентифікації (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L) CVSS 3.1: 7.3 (HIGH) Офіційне джерелоDieser Beitrag hat noch keine Ergänzungen vom Autor.
