CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25405

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

Portal eNdonesia w wersji 8.7 zawiera wiele podatności na ataki typu SQL injection, które umożliwiają nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid, co pozwala na wydobycie wrażliwych informacji z bazy danych, w tym nazw użytkowników, nazw baz danych oraz szczegółów wersji.

Risk Assessment

Podatności te stwarzają poważne ryzyko dla organizacji, ponieważ mogą prowadzić do ujawnienia wrażliwych danych oraz umożliwić atakującym pełną kontrolę nad bazą danych. W konsekwencji może to skutkować utratą danych oraz naruszeniem prywatności użytkowników.

Recommendation

Zaleca się natychmiastowe zaktualizowanie portalu eNdonesia do najnowszej wersji, która eliminuje te podatności. Dodatkowo warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych oraz stosowanie parametrów w zapytaniach SQL.

Original NVD description (English source)

eNdonesia Portal 8.7 contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through parameters in mod.php. Attackers can inject SQL through the artid, cid, did, contid, and aboutid parameters to extract sensitive database information including usernames, database names, and version details.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS