🟠 Alta


        VENCERT-2026-019


        CVE-2026-9470

Inyección SQL en StudentManagementSystem - función confirm_logged_in (student_trans.php)

Publicado: June 1, 2026 · Estado: Activa

Sistemas Afectados

yashpokharna2555 / StudentManagementSystem (commit cb2f558ddf8d19396de0f92abf2d224d46a0a203). Archivo student_trans.php, función confirm_logged_in; parámetros FIRST_NAME, Last_Name, EMAIL.

Descripción

Confirm_logged_in en student_trans.php no neutraliza FIRST_NAME, Last_Name ni EMAIL, permitiendo SQLi. Ataque remoto con exploit divulgado. Rolling release sin parche publicado. Proyecto alertado vía issue sin respuesta documentada.

Recomendaciones

No exponer la aplicación a Internet si no es imprescindible; limitar por VPN/firewall.
Desactivar o restringir student_trans.php / confirm_logged_in hasta parche si el negocio lo permite.
Revisar la base de datos por cuentas anómalas, datos alterados o consultas sospechosas en el periodo reciente.

Referencias

https://www.cve.org/CVERecord?id=CVE-2026-9470

Información de la Alerta

Código:
VENCERT-2026-019

Severidad:
🟠 Alta

Estado:
Activa

CVE:
CVE-2026-9470

Publicado:
June 1, 2026

Volver a Alertas