Czym jest podatność CVE-2026-36235?

CVE-2026-36235 to krytyczna podatność SQL injection wykryta w systemie Online Student Enrollment System firmy Itsourcecode. Umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL poprzez parametr 'subjcode' bez uwierzytelniania. CVSS: 9.8.

Kogo dotyczy podatność CVE-2026-36235?

Podatność dotyczy użytkowników systemu Online Student Enrollment System v1.0 firmy Itsourcecode. Każda organizacja korzystająca z tego oprogramowania powinna niezwłocznie sprawdzić, czy jej systemy wymagają aktualizacji.

Jak zabezpieczyć się przed CVE-2026-36235?

Należy zastosować poprawki bezpieczeństwa udostępnione przez producenta lub wdrożyć parametryzowane zapytania SQL. W przypadku braku dostępnych poprawek należy rozważyć wdrożenie WAF lub ograniczenie dostępu do podatnego komponentu.

Jakie ryzyko niesie podatność CVE-2026-36235?

Podatność ma ocenę CVSS 9.8 (krytyczny). Skuteczne wykorzystanie umożliwia atakującemu pełny dostęp do bazy danych, kradzież danych, modyfikację rekordów lub przejęcie kontroli nad systemem.

CVE-2026-36235: krytyczna podatność SQL injection (CVSS 9.8)

Podsumowanie

Parametr	Wartość
CVE ID	CVE-2026-36235
Źródło alertu	GitHub Advisory - Krytyczna podatność
Rok publikacji CVE	2026
Data publikacji	2026-04-10
Producent	Itsourcecode
Produkt	Online Student Enrollment System
CVSS Score	9.8 (Krytyczny)
EPSS Score	0.0% (percentyl: 8%)
CISA KEV	Nie
Ransomware	Nie potwierdzono

Opis podatności

Źródło: NVD

Odkryto lukę podatności SQL injection w pliku scheduleSubList.php systemu itsourcecode Online Student Enrollment System v1.0. Przyczyną tego problemu jest bezpośrednie wstawienie parametru ‘subjcode’ do zapytania SQL poprzez interpolację łańcuchów znaków bez jakiejkolwiek sanityzacji lub walidacji.

Wymagane działania

Zastosuj poprawki producenta lub środki zaradcze jak najszybciej po ich udostępnieniu.

Kogo dotyczy?

Podatność dotyczy produktu Online Student Enrollment System firmy Itsourcecode. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.

Źródła

Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.

Jak nFlo może pomóc?

Jeśli Twoja organizacja korzysta z produktów dotkniętych tą podatnością, skontaktuj się z nami. Pomożemy w:

Weryfikacji czy Twoje systemy są zagrożone
Wdrożeniu poprawek i mitygacji ryzyka
Monitorowaniu prób eksploatacji w Twoim środowisku

Przydatne zasoby:

Dowiedz się więcej

Bezpieczeństwo systemów OT/ICS — jak chronić infrastrukturę przemysłową przed cyberatakami

Przewodnik po bezpieczeństwie OT/ICS: różnice z IT, wektory ataków, standardy IEC 62443 i NIST SP 800-82, segmentacja sieci i model dojrzałości....

Bezpieczeństwo LLM — framework oceny ryzyka dla przedsiębiorstw

Enterprise framework bezpieczeństwa LLM: supply chain ML, model poisoning, data leakage, EU AI Act + NIS2. Jak ocenić i zarządzać ryzykiem AI w organi...

Bezpieczeństwo LLM - Prompt Injection i zagrożenia AI [OWASP Top 10]

Poznaj zagrożenia dla dużych modeli językowych: prompt injection, jailbreaking, data leakage. OWASP Top 10 LLM, zabezpieczenia i jak bezpiecznie wdroż...

CVE-2026-36235: Krytyczna podatność SQL injection w Itsourcecode Online Student Enrollment System - natychmiastowa aktualizacja wymagana

Podsumowanie

Opis podatności

Wymagane działania

Kogo dotyczy?

Źródła

Jak nFlo może pomóc?

Dowiedz się więcej

Tagi:

Udostępnij:

Porozmawiaj z ekspertem

Grzegorz Gnych

Chcesz obniżyć ryzyko i koszty IT?