Katalog CVE

CVE-2018-25411

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

MGB OpenSource Guestbook w wersji 0.7.0.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'id'. Atakujący mogą wysyłać żądania GET do email.php z odpowiednio skonstruowanymi ładunkami SQL w parametrze 'id', aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy tabel i kolumn.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do poufnych informacji w bazie danych. Może to prowadzić do utraty danych, naruszenia prywatności oraz potencjalnych strat finansowych.

Rekomendacja

Zaleca się aktualizację MGB OpenSource Guestbook do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych oraz ograniczenie dostępu do krytycznych skryptów.

Oryginalny opis (angielski, źródło NVD)

MGB OpenSource Guestbook 0.7.0.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the 'id' parameter. Attackers can send GET requests to email.php with crafted SQL payloads in the 'id' parameter to extract sensitive database information including table and column names.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS