CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2019-25458

Critical
Published: Translated: NVD NIST

Summary

Web Ofisi Firma Rehberi v1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametrów GET. Atakujący mogą wysyłać złośliwe ładunki w parametrach 'il', 'kat' lub 'kelime', aby wydobywać wrażliwe informacje z bazy danych lub przeprowadzać ataki typu blind SQL injection oparte na czasie.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych oraz potencjalne przejęcie kontroli nad bazą danych. Może to prowadzić do utraty danych, naruszenia prywatności oraz uszkodzenia reputacji firmy.

Recommendation

Zaleca się aktualizację aplikacji do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych oraz stosowanie parametrów w zapytaniach SQL.

Original NVD description (English source)

Web Ofisi Firma Rehberi v1 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through GET parameters. Attackers can send requests to with malicious payloads in the 'il', 'kat', or 'kelime' parameters to extract sensitive database information or perform time-based blind SQL injection attacks.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS