CVE-2017-20269
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Komponent KissGallery w Joomla! w wersji 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wstrzykiwanie poleceń SQL przez ścieżkę URL komponentu. Atakujący mogą dostarczyć złośliwy kod SQL w punkcie końcowym kissgallery, aby wykonać dowolne zapytania do bazy danych i wydobyć wrażliwe informacje.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do poufnych informacji w bazie danych. Może to prowadzić do utraty danych oraz naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się aktualizację komponentu KissGallery do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wprowadzić zabezpieczenia, takie jak filtrowanie danych wejściowych oraz monitorowanie aktywności w systemie.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component KissGallery 1.0.0 contains an SQL injection vulnerability that allows unauthenticated attackers to inject SQL commands through the component URL path. Attackers can supply malicious SQL code in the kissgallery endpoint to execute arbitrary database queries and extract sensitive information.

