Katalog CVE

CVE-2019-25730

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Listing Hub CMS w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania GET do pages.php z odpowiednio skonstruowanymi wartościami id, wykorzystując techniki wstrzykiwania SQL oparte na błędach.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia poufnych informacji, takich jak dane logowania do bazy danych, nazwy użytkowników oraz informacje o wersji, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie Listing Hub CMS do najnowszej wersji oraz wdrożenie mechanizmów walidacji i sanitizacji danych wejściowych, aby zapobiec wstrzykiwaniu SQL.

Oryginalny opis (angielski, źródło NVD)

Listing Hub CMS 1.0 contains a SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the id parameter. Attackers can send GET requests to pages.php with crafted id values using error-based SQL injection techniques to extract database credentials, usernames, and version information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS