CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25428

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

Paroiciel 11.20 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr tRecIdListe. Atakujący mogą wysyłać żądania GET do punktu końcowego trec.php z przygotowanymi ładunkami SQL w celu wydobycia informacji z bazy danych, w tym nazw tabel i kolumn.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych w bazie danych. Może to prowadzić do utraty poufności danych oraz naruszenia integralności systemu.

Recommendation

Zaleca się aktualizację Paroiciel do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie danych wejściowych oraz ograniczenie dostępu do krytycznych punktów końcowych.

Original NVD description (English source)

Paroiciel 11.20 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the tRecIdListe parameter. Attackers can send GET requests to the trec.php endpoint with crafted SQL payloads to extract database information including table and column names.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS