CVE-2018-25417
WysokieCVSS 8.2Streszczenie
AiOPMSD Final 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze quality. Atakujący mogą wysyłać żądania GET do quality.php z przygotowanymi ładunkami SQL w parametrze quality, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych i szczegóły wersji.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do poufnych informacji w bazie danych, co może prowadzić do naruszenia danych i utraty zaufania klientów.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie AiOPMSD do najnowszej wersji, która naprawia tę podatność, oraz wdrożenie odpowiednich mechanizmów zabezpieczeń, takich jak walidacja i sanitizacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
AiOPMSD Final 1.0.0 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the quality parameter. Attackers can send GET requests to quality.php with crafted SQL payloads in the quality parameter to extract sensitive database information including usernames, database names, and version details.

