Katalog CVE

CVE-2017-20255

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 - wyżej niż 25% wszystkich znanych CVE

Streszczenie

Komponent Joomla! JB Visa w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze visatype. Atakujący mogą wysyłać żądania GET do index.php z parametrami option=com_bookpro i view=popup, wstrzykując polecenia SQL w parametrze visatype, aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i zawartość tabeli.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych, co może prowadzić do utraty danych lub naruszenia prywatności użytkowników.

Rekomendacja

Zaleca się aktualizację komponentu JB Visa do najnowszej wersji, która eliminuje tę podatność, oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component JB Visa 1.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the visatype parameter. Attackers can send GET requests to index.php with the option=com_bookpro and view=popup parameters, injecting SQL commands in the visatype parameter to extract sensitive database information including credentials and table contents.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS