CVE-2019-25730
WysokieCVSS 8.2Streszczenie
Listing Hub CMS w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania GET do pages.php z odpowiednio skonstruowanymi wartościami id, wykorzystując techniki wstrzykiwania SQL oparte na błędach.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia poufnych informacji, takich jak dane logowania do bazy danych, nazwy użytkowników oraz informacje o wersji, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie Listing Hub CMS do najnowszej wersji oraz wdrożenie mechanizmów walidacji i sanitizacji danych wejściowych, aby zapobiec wstrzykiwaniu SQL.
Oryginalny opis (angielski, źródło NVD)
Listing Hub CMS 1.0 contains a SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to pages.php with crafted id values using error-based SQL injection techniques to extract database credentials, usernames, and version information.

