CVE-2017-20260
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Komponent Joomla! Price Alert w wersji 3.0.2 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze product_id. Atakujący mogą wysyłać żądania do widoku subscribeajax z odpowiednio skonstruowanymi ładunkami SQL w parametrze product_id, aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i dane konfiguracyjne.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do poufnych informacji. Może to prowadzić do naruszenia danych oraz utraty zaufania klientów.
Rekomendacja
Zaleca się aktualizację komponentu Joomla! Price Alert do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić zabezpieczenia, takie jak filtrowanie danych wejściowych i monitorowanie aktywności bazy danych.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component Price Alert 3.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the product_id parameter. Attackers can send requests to the subscribeajax view with crafted SQL payloads in the product_id parameter to extract sensitive database information including credentials and configuration data.

