CVE-2017-20252
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
Joomla NextGen Editor w wersji 2.1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez parametr plname. Atakujący mogą wysyłać żądania GET do index.php z opcją com_nge&view=config i wstrzykiwać złośliwy kod SQL w parametrze plname, aby wydobyć wrażliwe informacje z bazy danych.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do wrażliwych informacji w bazie danych. Może to prowadzić do utraty poufności danych oraz naruszenia przepisów o ochronie danych.
Rekomendacja
Zaleca się aktualizację Joomla NextGen Editor do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić odpowiednie zabezpieczenia, takie jak filtrowanie danych wejściowych i monitorowanie ruchu sieciowego.
Oryginalny opis (angielski, źródło NVD)
Joomla NextGen Editor 2.1.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL commands through the plname parameter. Attackers can send GET requests to index.php with option=com_nge&view=config and inject malicious SQL code in the plname parameter to extract sensitive database information.

