CVE-2020-26625
NiskieCVSS 3.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 — wyżej niż 47% wszystkich znanych CVE
Streszczenie
W Gila CMS 1.15.4 i wcześniejszych wykryto podatność na wstrzykiwanie SQL w parametrze 'user_id' po zalogowaniu. Umożliwia ona zdalnemu atakującemu wykonanie dowolnych zapytań do bazy danych.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowany dostęp do danych, zmodyfikować lub usunąć zawartość bazy, co prowadzi do naruszenia poufności i integralności systemu.
Rekomendacja
Należy natychmiast zaktualizować Gila CMS do wersji nowszej niż 1.15.4, która zawiera poprawkę eliminującą podatność na wstrzykiwanie SQL.
Oryginalny opis (angielski, źródło NVD)
A SQL injection vulnerability was discovered in Gila CMS 1.15.4 and earlier which allows a remote attacker to execute arbitrary web scripts via the 'user_id' parameter after the login portal.

