CVE-2026-7127
CVE-2026-7127 es un vulnerabilidad crítica identificada en el sistema SourceCodester Pharmacy Sales and Inventory System 1.0, que permite la inyección de SQL a través de una falla en el manejo de parámetros de entrada.
Descripción de la Vulnerabilidad
La vulnerabilidad afecta el código de la ruta /ajax.php?action=delete_receiving, donde un error en la validación del argumento ID permite a atacantes realizar inyecciones SQL. Este tipo de vulnerabilidades permite a los adversarios ejecutar instrucciones arbitrarias en la base de datos, comprometiendo la integridad y confidencialidad de los datos.
Sistemas Afectados
La vulnerabilidad afecta específicamente la versión 1.0 del sistema SourceCodester Pharmacy Sales and Inventory System. Usuarios que dependen de esta herramienta para gestionar inventarios médicos o farmacéuticos están expuestos a riesgos si no se aplican mitigaciones.
Impacto y Explotabilidad
El CVSS Score asignado es 7.3 (alto), lo que refleja un impacto significativo en la confidencialidad, integridad e disponibilidad de los datos. La vulnerabilidad permite explotación remota sin necesidad de autenticación, ya que el ataque se puede llevar a cabo desde cualquier dispositivo con acceso a la aplicación. El exploit ha sido publicado y podría ser utilizado para actividades maliciosas.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles.
Mitigación y Parches
Para mitigar el riesgo, se recomienda:
- Actualización al último parche: El sistema SourceCodester Pharmacy Sales and Inventory System 1.0 debe actualizarse a una versión posterior que incluya correcciones para la inyección SQL.
- Validación de entradas: Implementar validaciones estrictas en todas las rutas que manejan parámetros dinámicos, como
/ajax.php?action=delete_receiving. - Uso de bibliotecas seguras: Utilizar frameworks o librerías de base de datos que automaticen la sanitización de consultas SQL (ej. PDO con preparación de sentencias).