CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2019-25732

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

Skrypt PHP EI-Tube w wersji 3 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze wyszukiwania. Atakujący mogą wysyłać żądania GET do punktu końcowego wyszukiwania z przygotowanymi ładunkami SQL w parametrze zapytania, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, hasła i szczegóły wersji.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych, co może prowadzić do naruszenia prywatności i bezpieczeństwa. Ujawnienie danych takich jak hasła i informacje o wersji może również ułatwić dalsze ataki.

Recommendation

Zaleca się aktualizację skryptu PHP EI-Tube do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wprowadzić mechanizmy walidacji i sanitizacji danych wejściowych, aby zminimalizować ryzyko wstrzykiwania SQL.

Original NVD description (English source)

PHP EI-Tube Script 3 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the search parameter. Attackers can send GET requests to the search endpoint with crafted SQL payloads in the query parameter to extract sensitive database information including usernames, passwords, and version details.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS