CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25410

HighCVSS 7.1
Published: Updated: Translated: NVD NIST

Summary

SIM-PKH w wersji 2.4.1 zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'id'. Atakujący mogą wysyłać żądania GET do /admin/media.php z parametrami module=pengurus i act=editpengurus, zawierającymi instrukcje SQL UNION w celu wydobycia informacji z bazy danych.

Risk Assessment

Podatność ta może prowadzić do ujawnienia wrażliwych informacji, takich jak nazwy użytkowników, nazwy baz danych oraz szczegóły wersji, co zwiększa ryzyko dalszych ataków na system. Umożliwia to atakującym uzyskanie dostępu do krytycznych danych w organizacji.

Recommendation

Zaleca się aktualizację do najnowszej wersji SIM-PKH, która eliminuje tę podatność. Dodatkowo, warto wprowadzić zabezpieczenia, takie jak walidacja danych wejściowych oraz ograniczenie dostępu do panelu administracyjnego.

Original NVD description (English source)

SIM-PKH 2.4.1 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'id' parameter. Attackers can send GET requests to /admin/media.php with module=pengurus and act=editpengurus parameters containing SQL UNION statements to extract database information including usernames, database names, and version details.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS