CVE-2018-25379
WysokieStreszczenie
Collectric CMU 1.0 zawiera podatność na atak typu SQL injection, opartą na booleanach, w parametrze lang, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych podczas uwierzytelniania. Atakujący mogą wstrzykiwać kod SQL przez parametr lang w żądaniach logowania, aby wydobywać wrażliwe informacje z bazy danych przy użyciu technik opartych na czasie.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych danych z bazy danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący mogą wykorzystać tę lukę do przeprowadzenia nieautoryzowanych operacji na danych.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Collectric CMU oraz wdrożenie odpowiednich mechanizmów zabezpieczających, takich jak walidacja danych wejściowych i stosowanie parametrów w zapytaniach SQL.
Oryginalny opis (angielski, źródło NVD)
Collectric CMU 1.0 contains a boolean-based blind SQL injection vulnerability in the lang parameter that allows unauthenticated attackers to manipulate database queries during authentication. Attackers can inject SQL code through the lang parameter in login requests to extract sensitive information from the database using time-based blind techniques.

