CVE-2017-20253
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Komponent My Projects 2.0 w Joomla! zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr VerAyari. Atakujący mogą skonstruować żądania do punktu końcowego komponentu z ładunkami wstrzykującymi SQL, aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i dane systemowe.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych informacji w bazie danych, co może prowadzić do naruszenia bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację komponentu My Projects do najnowszej wersji, która eliminuje tę podatność, oraz przeprowadzenie audytu bezpieczeństwa bazy danych w celu wykrycia potencjalnych naruszeń.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component My Projects 2.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the VerAyari parameter. Attackers can craft requests to the component endpoint with SQL injection payloads to extract sensitive database information including credentials and system data.

