CVE-2019-25759
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
Komponent Joomla! vBizz w wersji 1.0.7 zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr payid. Atakujący mogą przesyłać żądania POST do interfejsu zarządzania pracownikami z przygotowanymi wartościami tablicy payid zawierającymi polecenia SQL.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych informacji z bazy danych, takich jak wersje i nazwy baz danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację komponentu vBizz do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component vBizz 1.0.7 contains an SQL injection vulnerability that allows authenticated attackers to execute arbitrary SQL queries by injecting malicious code through the payid parameter. Attackers can submit POST requests to the employee management interface with crafted payid array values containing SQL commands to extract sensitive database information including version and database names.

