CVE-2018-25405
HighCVSS 8.2Summary
Portal eNdonesia w wersji 8.7 zawiera wiele podatności na ataki typu SQL injection, które umożliwiają nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid, co pozwala na wydobycie wrażliwych informacji z bazy danych, w tym nazw użytkowników, nazw baz danych oraz szczegółów wersji.
Risk Assessment
Podatności te stwarzają poważne ryzyko dla organizacji, ponieważ mogą prowadzić do ujawnienia wrażliwych danych oraz umożliwić atakującym pełną kontrolę nad bazą danych. W konsekwencji może to skutkować utratą danych oraz naruszeniem prywatności użytkowników.
Recommendation
Zaleca się natychmiastowe zaktualizowanie portalu eNdonesia do najnowszej wersji, która eliminuje te podatności. Dodatkowo warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych oraz stosowanie parametrów w zapytaniach SQL.
Original NVD description (English source)
eNdonesia Portal 8.7 contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through parameters in mod.php. Attackers can inject SQL through the artid, cid, did, contid, and aboutid parameters to extract sensitive database information including usernames, database names, and version details.

