Katalog CVE

CVE-2019-25458

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Web Ofisi Firma Rehberi v1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametrów GET. Atakujący mogą wysyłać złośliwe ładunki w parametrach 'il', 'kat' lub 'kelime', aby wydobywać wrażliwe informacje z bazy danych lub przeprowadzać ataki typu blind SQL injection oparte na czasie.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych oraz potencjalne przejęcie kontroli nad bazą danych. Może to prowadzić do utraty danych, naruszenia prywatności oraz uszkodzenia reputacji firmy.

Rekomendacja

Zaleca się aktualizację aplikacji do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych oraz stosowanie parametrów w zapytaniach SQL.

Oryginalny opis (angielski, źródło NVD)

Web Ofisi Firma Rehberi v1 contains an SQL injection vulnerability that allows unauthenticated attackers to manipulate database queries by injecting SQL code through GET parameters. Attackers can send requests to with malicious payloads in the 'il', 'kat', or 'kelime' parameters to extract sensitive database information or perform time-based blind SQL injection attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS