CVE-2018-25410
WysokieCVSS 7.1Streszczenie
SIM-PKH w wersji 2.4.1 zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'id'. Atakujący mogą wysyłać żądania GET do /admin/media.php z parametrami module=pengurus i act=editpengurus, zawierającymi instrukcje SQL UNION w celu wydobycia informacji z bazy danych.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych informacji, takich jak nazwy użytkowników, nazwy baz danych oraz szczegóły wersji, co zwiększa ryzyko dalszych ataków na system. Umożliwia to atakującym uzyskanie dostępu do krytycznych danych w organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji SIM-PKH, która eliminuje tę podatność. Dodatkowo, warto wprowadzić zabezpieczenia, takie jak walidacja danych wejściowych oraz ograniczenie dostępu do panelu administracyjnego.
Oryginalny opis (angielski, źródło NVD)
SIM-PKH 2.4.1 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'id' parameter. Attackers can send GET requests to /admin/media.php with module=pengurus and act=editpengurus parameters containing SQL UNION statements to extract database information including usernames, database names, and version details.

