Kritische SQL-Injection-Schwachstelle in Open Source Point-of-Sale-Software

Zusammenfassung

Eine kritische SQL-Injection-Lücke in der Suchfunktion der Open Source Point-of-Sale-Software erlaubt es authentifizierten Angreifern mit Zugriff auf die Artikelsuche, beliebige SQL-Abfragen auszuführen. Die Schwachstelle mit der CVE-ID CVE-2026-32888 hat einen Schweregrad von 8.8 (Hoch) und zum Zeitpunkt der Veröffentlichung noch keinen Patch. Sysadmins müssen die Artikelsuchfunktion sorgfältig überprüfen und geeignete Gegenmaßnahmen ergreifen, bis ein Sicherheitsupdate verfügbar ist.

Open Source Point of Sale is a web based point-of-sale application written in PHP using CodeIgniter framework. Versions contain an SQL Injection in the Items search functionality. When the custom attribute search feature is enabled (search_custom filter), user-supplied input from the search GET parameter is interpolated directly into a HAVING clause without parameterization or sanitization. This allows an authenticated attacker with basic item search permissions to execute arbitrary SQL queries. A patch did not exist at the time of publication.