CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2019-25728

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

Care2x w wersji 2.7 zawiera wiele podatności na wstrzykiwanie SQL, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez manipulację parametrem cookie ck_config. Atakujący mogą wstrzykiwać złośliwy kod SQL w różnych punktach końcowych, takich jak login.php, indexframe.php oraz w różnych plikach modułów.

Risk Assessment

Podatności te mogą prowadzić do ujawnienia wrażliwych informacji z bazy danych bez potrzeby autoryzacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.

Recommendation

Zaleca się aktualizację do najnowszej wersji Care2x oraz wdrożenie odpowiednich mechanizmów zabezpieczających, takich jak walidacja danych wejściowych i ograniczenie dostępu do krytycznych punktów końcowych.

Original NVD description (English source)

Care2x 2.7 contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to execute arbitrary SQL commands by manipulating the ck_config cookie parameter. Attackers can inject malicious SQL through the ck_config cookie in multiple endpoints including login.php, indexframe.php, and various module files to extract sensitive database information without authentication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS