Katalog CVE

CVE-2016-20063

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wersja 1.0.3 Single Personal Message zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze wiadomości. Atakujący mogą uzyskać dostęp do interfejsu administracyjnego i dostarczyć spreparowane zapytania SQL w celu wydobycia wrażliwych informacji z bazy danych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do poufnych danych, takich jak dane logowania użytkowników oraz konfiguracja serwisu. Może to prowadzić do naruszenia bezpieczeństwa i utraty zaufania użytkowników.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Single Personal Message, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak filtrowanie danych wejściowych i ograniczenie dostępu do interfejsu administracyjnego.

Oryginalny opis (angielski, źródło NVD)

Single Personal Message 1.0.3 contains an SQL injection vulnerability that allows authenticated users to execute arbitrary SQL queries by injecting malicious code through the message parameter. Attackers can access the admin interface and supply crafted SQL statements in the message parameter to extract sensitive database information including user credentials and site configuration data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS