Katalog CVE

CVE-2018-25405

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Portal eNdonesia w wersji 8.7 zawiera wiele podatności na ataki typu SQL injection, które umożliwiają nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid, co pozwala na wydobycie wrażliwych informacji z bazy danych, w tym nazw użytkowników, nazw baz danych oraz szczegółów wersji.

Ocena ryzyka

Podatności te stwarzają poważne ryzyko dla organizacji, ponieważ mogą prowadzić do ujawnienia wrażliwych danych oraz umożliwić atakującym pełną kontrolę nad bazą danych. W konsekwencji może to skutkować utratą danych oraz naruszeniem prywatności użytkowników.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie portalu eNdonesia do najnowszej wersji, która eliminuje te podatności. Dodatkowo warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych oraz stosowanie parametrów w zapytaniach SQL.

Oryginalny opis (angielski, źródło NVD)

eNdonesia Portal 8.7 contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through parameters in mod.php. Attackers can inject SQL through the artid, cid, did, contid, and aboutid parameters to extract sensitive database information including usernames, database names, and version details.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS