Katalog CVE

CVE-2018-25424

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

System zarządzania przepustkami bramowymi w wersji 2.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na ominięcie uwierzytelnienia poprzez wstrzykiwanie kodu SQL w parametrach logowania i hasła. Atakujący mogą wysyłać spreparowane żądania POST do pliku login-exec.php z ładunkami wstrzykującymi SQL w parametrach formularza, aby uzyskać dostęp do aplikacji bez ważnych poświadczeń.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do systemu bez autoryzacji, co może prowadzić do kradzieży danych lub innych działań złośliwych.

Rekomendacja

Zaleca się aktualizację systemu do najnowszej wersji, która naprawia tę podatność, oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak filtrowanie danych wejściowych i monitorowanie logów dostępu.

Oryginalny opis (angielski, źródło NVD)

Gate Pass Management System 2.1 contains an SQL injection vulnerability that allows unauthenticated attackers to bypass authentication by injecting SQL code through the login and password parameters. Attackers can submit crafted POST requests to login-exec.php with SQL injection payloads in form parameters to authenticate without valid credentials and gain access to the application.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS