CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-40639

Critical
Published: Translated: NVD NIST

Summary

W Eventobot zidentyfikowano podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie baz danych za pomocą parametru 'promo_send' w pliku '/assets/php/calculate_discount.php'.

Risk Assessment

Podatność ta stwarza poważne zagrożenie dla integralności i poufności danych w organizacji, umożliwiając nieautoryzowany dostęp do baz danych.

Recommendation

Zaleca się natychmiastowe wprowadzenie poprawek zabezpieczeń oraz walidację danych wejściowych w celu zminimalizowania ryzyka wstrzykiwania SQL.

Original NVD description (English source)

A SQL injection vulnerability has been found in Eventobot. This vulnerability allows an attacker to retrieve, create, update and delete databases through the 'promo_send' parameter in the '/assets/php/calculate_discount.php'.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS