CVE-2025-61548
CriticalSummary
W aplikacji edu Business Solutions Print Shop Pro WebDesk w wersji 18.34 występuje podatność typu SQL Injection w parametrze hfInventoryDistFormID w punkcie końcowym /PSP/appNET/Store/CartV12.aspx/GetUnitPrice. Nieprawidłowe przetwarzanie danych wejściowych użytkownika umożliwia atakującym zdalne wykonywanie dowolnych poleceń SQL.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do bazy danych i potencjalne wykradanie lub modyfikowanie danych. Może to prowadzić do utraty poufności i integralności danych.
Recommendation
Zaleca się aktualizację do wersji 19.69 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy wprowadzić odpowiednie mechanizmy sanitizacji i parametryzacji danych wejściowych w aplikacji.
Original NVD description (English source)
SQL Injection is present on the hfInventoryDistFormID parameter in the /PSP/appNET/Store/CartV12.aspx/GetUnitPrice endpoint in edu Business Solutions Print Shop Pro WebDesk version 18.34 (fixed in 19.69). Unsanitized user input is incorporated directly into SQL queries without proper parameterization or escaping. This vulnerability allows remote attackers to execute arbitrary SQL commands

