Katalog CVE

CVE-2019-25752

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

Komponent J-BusinessDirectory w wersji 4.9.7 dla Joomla! zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze type. Atakujący mogą wysyłać żądania GET do index.php z parametrami option=com_jbusinessdirectory&task=categories.getCategories i wstrzykiwać zapytania SQL oparte na UNION, aby wydobyć informacje z bazy danych, w tym nazwy schematów i dane wrażliwe.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych w bazie danych. Może to prowadzić do utraty poufności danych oraz naruszenia przepisów dotyczących ochrony danych.

Rekomendacja

Zaleca się aktualizację komponentu J-BusinessDirectory do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak filtrowanie i walidacja danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component J-BusinessDirectory 4.9.7 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the type parameter. Attackers can send GET requests to index.php with the option=com_jbusinessdirectory&task=categories.getCategories parameters and inject UNION-based SQL statements in the type parameter to extract database information including schema names and sensitive data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS