CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25433

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

Komponent JE Photo Gallery w wersji 1.1 dla Joomla zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wydobycie informacji z bazy danych poprzez wstrzyknięcie złośliwego kodu SQL w parametrze categoryid. Atakujący mogą wysyłać żądania GET do index.php z odpowiednio skonstruowanymi wartościami categoryid w komponencie com_jephotogallery, aby wykonywać dowolne zapytania SQL i uzyskiwać wrażliwe dane, takie jak nazwy użytkowników i hashe haseł.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do poufnych informacji, co może prowadzić do dalszych ataków lub naruszenia prywatności użytkowników.

Recommendation

Zaleca się aktualizację komponentu JE Photo Gallery do najnowszej wersji, która eliminuje tę podatność, oraz przegląd zabezpieczeń aplikacji w celu zminimalizowania ryzyka wstrzykiwania SQL.

Original NVD description (English source)

Joomla Component JE Photo Gallery 1.1 contains an SQL injection vulnerability that allows unauthenticated attackers to extract database information by injecting malicious SQL code through the categoryid parameter. Attackers can send GET requests to index.php with crafted categoryid values in the com_jephotogallery component to execute arbitrary SQL queries and retrieve sensitive data like usernames and password hashes.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS