Katalog CVE

CVE-2024-36058

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Funkcjonalność Send Basket w Koha Library przed wersją 23.05.10 jest podatna na atak typu Time-Based SQL Injection. Problem wynika z braku sanitizacji parametru POST bib_list w pliku /cgi-bin/koha/opac-sendbasket.pl, co umożliwia użytkownikom biblioteki odczyt dowolnych danych z bazy danych.

Ocena ryzyka

Atakujący może uzyskać dostęp do poufnych informacji przechowywanych w bazie danych, co może prowadzić do naruszenia prywatności użytkowników oraz utraty zaufania do systemu bibliotecznego.

Rekomendacja

Zaleca się aktualizację Koha Library do wersji 23.05.10 lub nowszej oraz wprowadzenie dodatkowych mechanizmów sanitizacji danych wejściowych w celu zabezpieczenia przed atakami SQL Injection.

Oryginalny opis (angielski, źródło NVD)

The Send Basket functionality in Koha Library before 23.05.10 is susceptible to Time-Based SQL Injection because it fails to sanitize the POST parameter bib_list in /cgi-bin/koha/opac-sendbasket.pl, allowing library users to read arbitrary data from the database.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS