Katalog CVE

CVE-2024-38889

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.89%

Percentyl 55 - wyżej niż 55% wszystkich znanych CVE

Streszczenie

Podatność SQL Injection w systemie Caterease firmy Horizon Business Services Inc. w wersjach od 16.0.1.1663 do 24.0.1.2405 oraz prawdopodobnie późniejszych. Atakujący zdalnie może wstrzyknąć złośliwe polecenia SQL z powodu niewłaściwego neutralizowania specjalnych elementów w zapytaniach.

Ocena ryzyka

Ryzyko dla organizacji obejmuje nieautoryzowany dostęp do bazy danych, wyciek wrażliwych danych, modyfikację lub usunięcie danych oraz potencjalne przejęcie kontroli nad systemem.

Rekomendacja

Zaleca się natychmiastową aktualizację systemu Caterease do najnowszej dostępnej wersji oraz wdrożenie mechanizmów walidacji i parametryzacji zapytań SQL w celu zapobiegania atakom SQL Injection.

Oryginalny opis (angielski, źródło NVD)

An issue in Horizon Business Services Inc. Caterease 16.0.1.1663 through 24.0.1.2405 and possibly later versions, allows a remote attacker to perform SQL Injection due to improper neutralization of special elements used in an SQL command.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS