Katalog CVE

CVE-2021-47811

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Grocery Crud w wersji 1.6.4 zawiera podatność na wstrzykiwanie SQL w parametrze order_by, co umożliwia zdalnym atakującym manipulację zapytaniami do bazy danych. Atakujący mogą wstrzykiwać złośliwy kod SQL przez parametr order_by[] w żądaniach POST do punktu końcowego ajax_list, co może prowadzić do wyciągania lub modyfikacji informacji w bazie danych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa danych w organizacji, umożliwiając atakującym dostęp do wrażliwych informacji lub ich modyfikację. Może to prowadzić do utraty integralności danych oraz naruszenia poufności.

Rekomendacja

Zaleca się aktualizację Grocery Crud do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wprowadzić mechanizmy walidacji i sanitizacji danych wejściowych w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Grocery Crud 1.6.4 contains a SQL injection vulnerability in the order_by parameter that allows remote attackers to manipulate database queries. Attackers can inject malicious SQL code through the order_by[] parameter in POST requests to the ajax_list endpoint to potentially extract or modify database information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS