Inyección SQL en el Sistema de Gestión de Empleados de code-projects

Descripción Vulnerabilidad de severidad media (CVSS 3.1: 6.3) que permite la inyección de comandos SQL debido a una sanitización deficiente de las entradas del usuario en el script de procesamiento de solicitudes de permisos (/process/applyleaveprocess.php). Un usuario registrado (por ejemplo, un empleado con cuenta básica) puede alterar el parámetro ID en la petición HTTP para extraer información confidencial de la base de datos, modificar registros o, dependiendo de la configuración del DBMS, comprometer el servidor de base de datos subyacente.

Se recomienda a los administradores auditar el código del archivo afectado para implementar consultas preparadas (Prepared Statements) o parametrizadas que neutralicen la inyección.

https://www.cve.org/CVERecord?id=CVE-2026-9451