Katalog CVE

CVE-2019-25726

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

All in One Video Downloader w wersji 1.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania do interfejsu administracyjnego z ładunkami SQL opartymi na UNION, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, bazy danych i szczegóły wersji.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych, co może prowadzić do naruszenia prywatności i bezpieczeństwa systemu. Wydobycie informacji o użytkownikach i bazach danych może być wykorzystane do dalszych ataków.

Rekomendacja

Zaleca się aktualizację All in One Video Downloader do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak filtrowanie danych wejściowych i ograniczenie dostępu do interfejsu administracyjnego.

Oryginalny opis (angielski, źródło NVD)

All in One Video Downloader 1.2 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send requests to the admin interface with UNION-based SQL injection payloads in the id parameter to extract sensitive database information including usernames, databases, and version details.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS