CVE-2018-25424
HighCVSS 8.2Summary
System zarządzania przepustkami bramowymi w wersji 2.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na ominięcie uwierzytelnienia poprzez wstrzykiwanie kodu SQL w parametrach logowania i hasła. Atakujący mogą wysyłać spreparowane żądania POST do pliku login-exec.php z ładunkami wstrzykującymi SQL w parametrach formularza, aby uzyskać dostęp do aplikacji bez ważnych poświadczeń.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do systemu bez autoryzacji, co może prowadzić do kradzieży danych lub innych działań złośliwych.
Recommendation
Zaleca się aktualizację systemu do najnowszej wersji, która naprawia tę podatność, oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak filtrowanie danych wejściowych i monitorowanie logów dostępu.
Original NVD description (English source)
Gate Pass Management System 2.1 contains an SQL injection vulnerability that allows unauthenticated attackers to bypass authentication by injecting SQL code through the login and password parameters. Attackers can submit crafted POST requests to login-exec.php with SQL injection payloads in form parameters to authenticate without valid credentials and gain access to the application.

