CVE-2017-20254
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Komponent Joomla! User Bench w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze userid. Atakujący mogą wysyłać żądania GET do index.php z parametrami umożliwiającymi wstrzyknięcie ładunków SQL.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych informacji z bazy danych, w tym danych uwierzytelniających i konfiguracji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację komponentu User Bench do najnowszej wersji oraz wdrożenie odpowiednich środków zabezpieczających, aby zminimalizować ryzyko wstrzykiwania SQL.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component User Bench 1.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the userid parameter. Attackers can send GET requests to index.php with the option=com_userbench&view=detail&userid parameter containing SQL injection payloads to extract sensitive database information including credentials and configuration data.

