CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25382

High
Published: Translated: NVD NIST

Summary

Zechat w wersji 1.5 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wydobycie informacji z bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru uname. Atakujący mogą wysyłać spreparowane żądania do profile.php z ładunkami SQL opartymi na UNION, aby uzyskać nazwy tabel, nazwy kolumn oraz wrażliwe dane z bazy danych information_schema.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych informacji w bazie danych, co może prowadzić do utraty danych lub naruszenia prywatności użytkowników.

Recommendation

Zaleca się aktualizację Zechat do najnowszej wersji, która eliminuje tę podatność, oraz wdrożenie odpowiednich mechanizmów zabezpieczających, takich jak walidacja danych wejściowych i ograniczenie dostępu do bazy danych.

Original NVD description (English source)

Zechat 1.5 contains an SQL injection vulnerability that allows unauthenticated attackers to extract database information by injecting SQL code through the uname parameter. Attackers can send crafted requests to profile.php with UNION-based SQL injection payloads to retrieve table names, column names, and sensitive data from the information_schema database.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS