CVE-2017-20266
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Joomla SP Movie Database w wersji 1.3 zawiera podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze searchword. Atakujący mogą wysyłać żądania GET do widoku searchresults z przygotowanymi ładunkami SQL w parametrze searchword, aby wydobyć wrażliwe informacje z bazy danych.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych w bazie danych, co może prowadzić do utraty danych lub naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się aktualizację Joomla SP Movie Database do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie danych wejściowych i ograniczenie dostępu do krytycznych zasobów.
Oryginalny opis (angielski, źródło NVD)
Joomla SP Movie Database 1.3 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the searchword parameter. Attackers can send GET requests to the searchresults view with crafted SQL payloads in the searchword parameter to extract sensitive database information.

