Katalog CVE

CVE-2018-25425

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Yot CMS w wersji 3.3.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrach aid i cid. Atakujący mogą wysyłać żądania GET do index.php z odpowiednio przygotowanymi ładunkami SQL w tych parametrach, aby wydobyć informacje z bazy danych, w tym nazwy tabel i kolumn.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych w bazie danych. Może to prowadzić do utraty poufności danych oraz potencjalnych strat finansowych i reputacyjnych.

Rekomendacja

Zaleca się aktualizację Yot CMS do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wprowadzić zabezpieczenia, takie jak filtrowanie i walidacja danych wejściowych, aby zminimalizować ryzyko wstrzykiwania SQL.

Oryginalny opis (angielski, źródło NVD)

Yot CMS 3.3.1 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the aid and cid parameters. Attackers can send GET requests to index.php with crafted SQL payloads in the aid or cid parameters to extract database information including table and column names.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS