CVE-2026-7087

Descripción de la Vulnerabilidad

CVE-2026-7087 se refiere a una vulnerabilidad crítica en el sistema SourceCodester Pharmacy Sales and Inventory System 1.0, que permite la inyección SQL mediante la manipulación de un parámetro específico. La falla afecta la función del archivo /ajax.php?action=save_sales, permitiendo a atacantes realizar operaciones no autorizadas en la base de datos.

La vulnerabilidad fue clasificada con un puntaje CVSS de 7.3 (ALTO), lo que indica un riesgo significativo para sistemas no protegidos. El ataque puede iniciarse de forma remota, lo que agrega una capa adicional de peligro para usuarios y organizaciones que dependen del software.

Sistemas Afectados

El sistema vulnerable es SourceCodester Pharmacy Sales and Inventory System 1.0, específicamente la ruta /ajax.php?action=save_sales. La vulnerabilidad afecta el manejo de parámetros en esta función, permitiendo a los atacantes injectar código SQL malicioso.

Impacto y Explotabilidad

La inyección SQL puede llevar a la revelación de datos sensibles, modificación de registros o incluso el acceso no autorizado al sistema. Dado que el ataque es remoto, un atacante podría aprovechar esta vulnerabilidad sin necesidad de autenticación previa.

El vector CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L refleja que el nivel de riesgo es alto, con posibles consecuencias en confidencialidad, integridad y disponibilidad.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La solución más efectiva es aplicar los parches oficiales proporcionados por el desarrollador del sistema. Los usuarios deben actualizar a una versión posterior al 1.0 para corregir la vulnerabilidad. En caso de no poder aplicar actualizaciones, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización de entradas en el backend.