CVE-2019-25728
WysokieCVSS 8.2Streszczenie
Care2x w wersji 2.7 zawiera wiele podatności na wstrzykiwanie SQL, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez manipulację parametrem cookie ck_config. Atakujący mogą wstrzykiwać złośliwy kod SQL w różnych punktach końcowych, takich jak login.php, indexframe.php oraz w różnych plikach modułów.
Ocena ryzyka
Podatności te mogą prowadzić do ujawnienia wrażliwych informacji z bazy danych bez potrzeby autoryzacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Care2x oraz wdrożenie odpowiednich mechanizmów zabezpieczających, takich jak walidacja danych wejściowych i ograniczenie dostępu do krytycznych punktów końcowych.
Oryginalny opis (angielski, źródło NVD)
Care2x 2.7 contains multiple SQL injection vulnerabilities that allow unauthenticated attackers to execute arbitrary SQL commands by manipulating the ck_config cookie parameter. Attackers can inject malicious SQL through the ck_config cookie in multiple endpoints including login.php, indexframe.php, and various module files to extract sensitive database information without authentication.

