CVE-2018-25406
WysokieCVSS 8.2Streszczenie
Portal eNdonesia w wersji 8.7 zawiera wiele podatności na ataki typu SQL injection, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid w różnych modułach, aby wydobyć dane uwierzytelniające bazy danych, nazwy użytkowników oraz informacje o wersji.
Ocena ryzyka
Podatności te mogą prowadzić do poważnych naruszeń bezpieczeństwa, umożliwiając atakującym dostęp do wrażliwych danych i potencjalne przejęcie kontroli nad systemem. Organizacje mogą być narażone na utratę danych oraz reputacji.
Rekomendacja
Zaleca się aktualizację portalu eNdonesia do najnowszej wersji, która eliminuje te podatności. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie i walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
eNdonesia Portal 8.7 contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through parameters in mod.php. Attackers can inject SQL through the artid, cid, did, contid, and aboutid parameters across publisher, diskusi, galeri, content, and about modules to extract database credentials, usernames, and version information.

