CVE-2025-40639
CriticalSummary
W Eventobot zidentyfikowano podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie baz danych za pomocą parametru 'promo_send' w pliku '/assets/php/calculate_discount.php'.
Risk Assessment
Podatność ta stwarza poważne zagrożenie dla integralności i poufności danych w organizacji, umożliwiając nieautoryzowany dostęp do baz danych.
Recommendation
Zaleca się natychmiastowe wprowadzenie poprawek zabezpieczeń oraz walidację danych wejściowych w celu zminimalizowania ryzyka wstrzykiwania SQL.
Original NVD description (English source)
A SQL injection vulnerability has been found in Eventobot. This vulnerability allows an attacker to retrieve, create, update and delete databases through the 'promo_send' parameter in the '/assets/php/calculate_discount.php'.

