CVE-2019-25732
HighCVSS 8.2Summary
Skrypt PHP EI-Tube w wersji 3 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze wyszukiwania. Atakujący mogą wysyłać żądania GET do punktu końcowego wyszukiwania z przygotowanymi ładunkami SQL w parametrze zapytania, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, hasła i szczegóły wersji.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych, co może prowadzić do naruszenia prywatności i bezpieczeństwa. Ujawnienie danych takich jak hasła i informacje o wersji może również ułatwić dalsze ataki.
Recommendation
Zaleca się aktualizację skryptu PHP EI-Tube do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wprowadzić mechanizmy walidacji i sanitizacji danych wejściowych, aby zminimalizować ryzyko wstrzykiwania SQL.
Original NVD description (English source)
PHP EI-Tube Script 3 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the search parameter. Attackers can send GET requests to the search endpoint with crafted SQL payloads in the query parameter to extract sensitive database information including usernames, passwords, and version details.

