Katalog CVE

CVE-2020-26625

NiskieCVSS 3.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.66%

Percentyl 47 — wyżej niż 47% wszystkich znanych CVE

Streszczenie

W Gila CMS 1.15.4 i wcześniejszych wykryto podatność na wstrzykiwanie SQL w parametrze 'user_id' po zalogowaniu. Umożliwia ona zdalnemu atakującemu wykonanie dowolnych zapytań do bazy danych.

Ocena ryzyka

Atakujący może uzyskać nieautoryzowany dostęp do danych, zmodyfikować lub usunąć zawartość bazy, co prowadzi do naruszenia poufności i integralności systemu.

Rekomendacja

Należy natychmiast zaktualizować Gila CMS do wersji nowszej niż 1.15.4, która zawiera poprawkę eliminującą podatność na wstrzykiwanie SQL.

Oryginalny opis (angielski, źródło NVD)

A SQL injection vulnerability was discovered in Gila CMS 1.15.4 and earlier which allows a remote attacker to execute arbitrary web scripts via the 'user_id' parameter after the login portal.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS