CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2019-25726

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

All in One Video Downloader w wersji 1.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania do interfejsu administracyjnego z ładunkami SQL opartymi na UNION, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, bazy danych i szczegóły wersji.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych, co może prowadzić do naruszenia prywatności i bezpieczeństwa systemu. Wydobycie informacji o użytkownikach i bazach danych może być wykorzystane do dalszych ataków.

Recommendation

Zaleca się aktualizację All in One Video Downloader do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak filtrowanie danych wejściowych i ograniczenie dostępu do interfejsu administracyjnego.

Original NVD description (English source)

All in One Video Downloader 1.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send requests to the admin interface with UNION-based SQL injection payloads in the id parameter to extract sensitive database information including usernames, databases, and version details.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS