CVE-2018-25428
HighCVSS 8.2Summary
Paroiciel 11.20 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr tRecIdListe. Atakujący mogą wysyłać żądania GET do punktu końcowego trec.php z przygotowanymi ładunkami SQL w celu wydobycia informacji z bazy danych, w tym nazw tabel i kolumn.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych w bazie danych. Może to prowadzić do utraty poufności danych oraz naruszenia integralności systemu.
Recommendation
Zaleca się aktualizację Paroiciel do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie danych wejściowych oraz ograniczenie dostępu do krytycznych punktów końcowych.
Original NVD description (English source)
Paroiciel 11.20 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the tRecIdListe parameter. Attackers can send GET requests to the trec.php endpoint with crafted SQL payloads to extract database information including table and column names.

