CVE-2018-25411
HighCVSS 8.2Summary
MGB OpenSource Guestbook w wersji 0.7.0.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'id'. Atakujący mogą wysyłać żądania GET do email.php z odpowiednio skonstruowanymi ładunkami SQL w parametrze 'id', aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy tabel i kolumn.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do poufnych informacji w bazie danych. Może to prowadzić do utraty danych, naruszenia prywatności oraz potencjalnych strat finansowych.
Recommendation
Zaleca się aktualizację MGB OpenSource Guestbook do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych oraz ograniczenie dostępu do krytycznych skryptów.
Original NVD description (English source)
MGB OpenSource Guestbook 0.7.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'id' parameter. Attackers can send GET requests to email.php with crafted SQL payloads in the 'id' parameter to extract sensitive database information including table and column names.

