Katalog CVE

CVE-2017-20268

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 - wyżej niż 18% wszystkich znanych CVE

Streszczenie

Komponent Joomla! Zap Calendar Lite w wersji 4.3.4 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'eid'. Atakujący mogą wysyłać żądania GET do punktu końcowego wtyczki RSVP z odpowiednio skonstruowanymi ładunkami SQL w celu wydobycia wrażliwych informacji z bazy danych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do poufnych informacji w bazie danych, co może prowadzić do dalszych ataków lub wycieku danych.

Rekomendacja

Zaleca się aktualizację komponentu Zap Calendar Lite do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie i walidacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component Zap Calendar Lite 4.3.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'eid' parameter. Attackers can send GET requests to the RSVP plugin endpoint with crafted SQL payloads to extract sensitive database information including database names and table structures.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS