Katalog CVE

CVE-2019-25755

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

Komponent Joomla vReview w wersji 1.9.11 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze cmId. Atakujący mogą wysyłać żądania POST do punktu końcowego edytowania recenzji z zakodowanymi w URL zapytaniami SQL UNION w parametrze cmId, aby wydobyć informacje z bazy danych, w tym nazwy użytkowników, hasła i wersje bazy danych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych organizacji, umożliwiając atakującym dostęp do wrażliwych informacji. Może to prowadzić do naruszenia danych oraz utraty zaufania użytkowników.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie komponentu vReview do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające przed wstrzykiwaniem SQL, takie jak użycie przygotowanych zapytań.

Oryginalny opis (angielski, źródło NVD)

Joomla Component vReview 1.9.11 contains an SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the cmId parameter. Attackers can send POST requests to the editReview task endpoint with URL-encoded SQL UNION statements in the cmId parameter to extract database information including usernames, passwords, and database versions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS