Katalog CVE

CVE-2018-25380

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Komponent Joomla eXtroForms w wersji 2.1.5 zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń SQL poprzez parametry filter_type_id, filter_pid_id oraz filter_search. Atakujący mogą wysyłać żądania POST do widoku extroformfield z złośliwymi ładunkami SQL w celu wydobycia wrażliwych informacji z bazy danych oraz danych serwera.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych, umożliwiając atakującym dostęp do poufnych informacji w bazie danych. Może to prowadzić do utraty danych, naruszenia prywatności oraz potencjalnych strat finansowych dla organizacji.

Rekomendacja

Zaleca się aktualizację komponentu eXtroForms do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak monitorowanie i ograniczanie dostępu do krytycznych funkcji aplikacji.

Oryginalny opis (angielski, źródło NVD)

Joomla Component eXtroForms 2.1.5 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL commands through the filter_type_id, filter_pid_id, and filter_search parameters. Attackers can submit POST requests to the extroformfield view with malicious SQL payloads to extract sensitive database information and server data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS