Katalog CVE

CVE-2018-25428

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Paroiciel 11.20 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr tRecIdListe. Atakujący mogą wysyłać żądania GET do punktu końcowego trec.php z przygotowanymi ładunkami SQL w celu wydobycia informacji z bazy danych, w tym nazw tabel i kolumn.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych w bazie danych. Może to prowadzić do utraty poufności danych oraz naruszenia integralności systemu.

Rekomendacja

Zaleca się aktualizację Paroiciel do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie danych wejściowych oraz ograniczenie dostępu do krytycznych punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

Paroiciel 11.20 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the tRecIdListe parameter. Attackers can send GET requests to the trec.php endpoint with crafted SQL payloads to extract database information including table and column names.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS