Katalog CVE

CVE-2018-25385

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

E-Registrasi Pencak Silat w wersji 18.10 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze id_partai. Atakujący mogą wysyłać żądania GET do monitor_nilai.php z odpowiednio skonstruowanymi ładunkami SQL w parametrze id_partai, aby wydobyć wrażliwe informacje z bazy danych, w tym dane logowania administratora oraz dane użytkowników.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do poufnych informacji, co może prowadzić do utraty danych oraz naruszenia prywatności użytkowników.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie aplikacji do najnowszej wersji, która naprawia tę podatność, oraz wdrożenie mechanizmów zabezpieczających przed wstrzykiwaniem SQL, takich jak walidacja danych wejściowych i stosowanie przygotowanych zapytań.

Oryginalny opis (angielski, źródło NVD)

E-Registrasi Pencak Silat 18.10 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id_partai parameter. Attackers can send GET requests to monitor_nilai.php with crafted SQL payloads in the id_partai parameter to extract sensitive database information including admin credentials and user data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS