Katalog CVE

CVE-2019-25728

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Care2x w wersji 2.7 zawiera wiele podatności na wstrzykiwanie SQL, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez manipulację parametrem cookie ck_config. Atakujący mogą wstrzykiwać złośliwy kod SQL w różnych punktach końcowych, takich jak login.php, indexframe.php oraz w różnych plikach modułów.

Ocena ryzyka

Podatności te mogą prowadzić do ujawnienia wrażliwych informacji z bazy danych bez potrzeby autoryzacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Care2x oraz wdrożenie odpowiednich mechanizmów zabezpieczających, takich jak walidacja danych wejściowych i ograniczenie dostępu do krytycznych punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

Care2x 2.7 contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to execute arbitrary SQL commands by manipulating the ck_config cookie parameter. Attackers can inject malicious SQL through the ck_config cookie in multiple endpoints including login.php, indexframe.php, and various module files to extract sensitive database information without authentication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS