Katalog CVE

CVE-2017-20259

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 - wyżej niż 25% wszystkich znanych CVE

Streszczenie

Joomla OSDownloads w wersji 1.7.4 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania GET do index.php z opcją=com_osdownloads&view=item&id=[SQL], aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i dane konfiguracyjne.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych organizacji, umożliwiając atakującym dostęp do poufnych informacji. Może to prowadzić do utraty danych, naruszenia prywatności oraz usunięcia lub zmiany krytycznych danych.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie Joomla OSDownloads do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak filtrowanie danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla OSDownloads 1.7.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to index.php with option=com_osdownloads&view=item&id=[SQL] to extract sensitive database information including credentials and configuration data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS