CVE-2018-25425
HighCVSS 8.2Summary
Yot CMS w wersji 3.3.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrach aid i cid. Atakujący mogą wysyłać żądania GET do index.php z odpowiednio przygotowanymi ładunkami SQL w tych parametrach, aby wydobyć informacje z bazy danych, w tym nazwy tabel i kolumn.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych w bazie danych. Może to prowadzić do utraty poufności danych oraz potencjalnych strat finansowych i reputacyjnych.
Recommendation
Zaleca się aktualizację Yot CMS do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wprowadzić zabezpieczenia, takie jak filtrowanie i walidacja danych wejściowych, aby zminimalizować ryzyko wstrzykiwania SQL.
Original NVD description (English source)
Yot CMS 3.3.1 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the aid and cid parameters. Attackers can send GET requests to index.php with crafted SQL payloads in the aid or cid parameters to extract database information including table and column names.

