Katalog CVE

CVE-2019-25760

ŚrednieCVSS 6.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

Komponent Joomla! Easy Shop w wersji 1.2.3 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez podanie ścieżek plików zakodowanych w base64. Atakujący mogą wysyłać żądania GET do index.php z odpowiednimi parametrami, aby uzyskać dostęp do wrażliwych plików.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia wrażliwych informacji, takich jak pliki konfiguracyjne i systemowe, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.

Rekomendacja

Zaleca się aktualizację komponentu Easy Shop do najnowszej wersji oraz wdrożenie odpowiednich środków zabezpieczających, aby zminimalizować ryzyko lokalnego włączenia pliku.

Oryginalny opis (angielski, źródło NVD)

Joomla! Component Easy Shop 1.2.3 contains a local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by supplying base64-encoded file paths. Attackers can send GET requests to index.php with the option parameter set to com_easyshop, task set to ajax.loadImage, and a base64-encoded file path in the file parameter to retrieve sensitive files like configuration.php and system files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS