CVE-2026-26708 — CRITICAL — SQL injection у Pharmacy Point of Sale System 1.0

В середині березня 2026 року було публічно оголошено про критичну уразливість безпеки в системі Pharmacy Point of Sale System версії 1.0. Йдеться про серйозний ризик для IT-інфраструктури аптечних мереж, які використовують цей софт. Уразливість вже проаналізована фахівцями MITRE і має максимальний рівень критичності за CVSS 3.1 — 9.8 балів.

Зловмисники можуть експлуатувати уразливість віддалено, без потреби автентифікації чи взаємодії зі сторони користувача. Рекомендується звернути увагу на оновлення безпеки та негайно застосувати патч безпеки, щойно він буде доступний.

Що сталося

У Pharmacy Point of Sale System v1.0 виявлено уразливість типу SQL injection у файлі manage_user.php. Ця уразливість безпеки дозволяє атакувальнику виконувати довільні SQL-запити до бази даних системи, ставлячи під серйозний ризик конфіденційність, цілісність і доступність даних.

Коли та як можлива атака

Для експлуатації уразливості достатньо віддаленого доступу до інтерфейсу системи. Атака здійснюється без автентифікації та без участі легітимних користувачів. Потенційний зловмисник може ініціювати SQL injection через спеціально сформований запит до файлу manage_user.php.

Чому це важливо

Впровадження цієї уразливості загрожує повним компроментуванням даних користувачів та системних файлів. IT-інфраструктура організації стає вразливою до витоку даних, зміни прав доступу чи повної зупинки сервісу. Адміністратори систем і фахівці з кібербезпеки мають враховувати, що ризик для систем з цією уразливістю — критичний.

Рекомендації

Адміністраторам і DevOps необхідно якнайшвидше перевірити свої Pharmacy Point of Sale System на наявність версії 1.0 та відімкнути або обмежити доступ до manage_user.php до виходу оновлення безпеки. Не відкладайте застосування патчу безпеки одразу після його релізу. Здійснюйте перевірку журналів на предмет підозрілої активності та регулярно оновлюйте паролі адміністративних акаунтів.

Технічні деталі

Уразливість виявлена у Pharmacy Point of Sale System v1.0, компонент — /pharmacy/manage_user.php. Вектор атаки: віддалений, без автентифікації, без участі користувача. CVSS 3.1: 9.8 (CRITICAL). Детальніше — Офіційне джерело.