CVE-2019-25754
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
Komponent Joomla vRestaurant w wersji 1.9.4 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze keysearch. Atakujący mogą wysyłać żądania POST do punktu końcowego menu-listing-layout z przygotowanymi ładunkami SQL w parametrze keysearch, aby wydobyć nazwy tabel bazy danych oraz wrażliwe informacje.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych danych w bazie danych, co może prowadzić do utraty danych lub naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się aktualizację komponentu vRestaurant do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, takich jak filtrowanie danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Joomla Component vRestaurant 1.9.4 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the keysearch parameter. Attackers can send POST requests to the menu-listing-layout endpoint with crafted SQL payloads in the keysearch parameter to extract database table names and sensitive information from the database.

