Kritische SQL-Injection-Lücke in Online-Studentenportal CVE-2026-36232
⚠️ CVE-Referenzen:
CVE-2026-36232
Zusammenfassung
In der Datei "instructorClasses.php" des Online-Studentenportal-Systems "itsourcecode Online Student Enrollment System v1.0" wurde eine kritische SQL-Injection-Schwachstelle entdeckt. Der Parameter "classId" aus der $_GET-Variable wird direkt in die SQL-Abfrage eingebunden, ohne vorher ordnungsgemäß bereinigt zu werden. Dadurch können Angreifer beliebigen SQL-Code einschleusen und so die Kontrolle über die Datenbank erlangen.
A SQL injection vulnerability was found in the instructorClasses.php file of itsourcecode Online Student Enrollment System v1.0. The reason for this issue is that the 'classId' parameter from $_GET['classId'] is directly concatenated into the SQL query without any sanitization or validation.
Quelle: app.opencve.io