Katalog CVE

CVE-2017-20253

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 - wyżej niż 25% wszystkich znanych CVE

Streszczenie

Komponent My Projects 2.0 w Joomla! zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr VerAyari. Atakujący mogą skonstruować żądania do punktu końcowego komponentu z ładunkami wstrzykującymi SQL, aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i dane systemowe.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych informacji w bazie danych, co może prowadzić do naruszenia bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację komponentu My Projects do najnowszej wersji, która eliminuje tę podatność, oraz przeprowadzenie audytu bezpieczeństwa bazy danych w celu wykrycia potencjalnych naruszeń.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component My Projects 2.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the VerAyari parameter. Attackers can craft requests to the component endpoint with SQL injection payloads to extract sensitive database information including credentials and system data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS