Katalog CVE

CVE-2020-26624

NiskieCVSS 3.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.66%

Percentyl 47 — wyżej niż 47% wszystkich znanych CVE

Streszczenie

W Gila CMS 1.15.4 i wcześniejszych wykryto podatność na wstrzykiwanie SQL w parametrze ID po zalogowaniu, umożliwiającą zdalnemu atakującemu wykonanie dowolnych skryptów SQL.

Ocena ryzyka

Atakujący może uzyskać nieautoryzowany dostęp do bazy danych, wykraść lub zmodyfikować dane, a w skrajnych przypadkach przejąć kontrolę nad serwerem.

Rekomendacja

Należy natychmiast zaktualizować Gila CMS do wersji nowszej niż 1.15.4 oraz zastosować parametryzację zapytań SQL w kodzie aplikacji.

Oryginalny opis (angielski, źródło NVD)

A SQL injection vulnerability was discovered in Gila CMS 1.15.4 and earlier which allows a remote attacker to execute arbitrary web scripts via the ID parameter after the login portal.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS