CVE-2019-25726
HighCVSS 8.2Summary
All in One Video Downloader w wersji 1.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania do interfejsu administracyjnego z ładunkami SQL opartymi na UNION, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, bazy danych i szczegóły wersji.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych, co może prowadzić do naruszenia prywatności i bezpieczeństwa systemu. Wydobycie informacji o użytkownikach i bazach danych może być wykorzystane do dalszych ataków.
Recommendation
Zaleca się aktualizację All in One Video Downloader do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak filtrowanie danych wejściowych i ograniczenie dostępu do interfejsu administracyjnego.
Original NVD description (English source)
All in One Video Downloader 1.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send requests to the admin interface with UNION-based SQL injection payloads in the id parameter to extract sensitive database information including usernames, databases, and version details.

