CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25431

HighCVSS 7.1
Published: Updated: Translated: NVD NIST

Summary

No-Cms w wersji 1.0 zawiera podatność na wstrzykiwanie SQL w parametrze order_by punktu końcowego eksportu manage_privilege, co pozwala uwierzytelnionym atakującym na manipulację zapytaniami do bazy danych. Atakujący mogą wysyłać żądania POST do /nocms/main/manage_privilege/index/export z złośliwym kodem SQL w parametrze order_by[0], aby wydobyć wrażliwe informacje z bazy danych.

Risk Assessment

Podatność ta może prowadzić do ujawnienia wrażliwych danych z bazy, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji. Umożliwia to atakującym dostęp do informacji, które mogą być wykorzystane do dalszych ataków lub kompromitacji systemu.

Recommendation

Zaleca się natychmiastowe zaktualizowanie No-Cms do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak walidacja danych wejściowych i ograniczenie uprawnień użytkowników.

Original NVD description (English source)

No-Cms 1.0 contains an SQL injection vulnerability in the order_by parameter of the manage_privilege export endpoint that allows authenticated attackers to manipulate database queries. Attackers can submit POST requests to /nocms/main/manage_privilege/index/export with malicious SQL code in the order_by[0] parameter to extract sensitive database information.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS