CVE-2024-38889
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 55 - wyżej niż 55% wszystkich znanych CVE
Streszczenie
Podatność SQL Injection w systemie Caterease firmy Horizon Business Services Inc. w wersjach od 16.0.1.1663 do 24.0.1.2405 oraz prawdopodobnie późniejszych. Atakujący zdalnie może wstrzyknąć złośliwe polecenia SQL z powodu niewłaściwego neutralizowania specjalnych elementów w zapytaniach.
Ocena ryzyka
Ryzyko dla organizacji obejmuje nieautoryzowany dostęp do bazy danych, wyciek wrażliwych danych, modyfikację lub usunięcie danych oraz potencjalne przejęcie kontroli nad systemem.
Rekomendacja
Zaleca się natychmiastową aktualizację systemu Caterease do najnowszej dostępnej wersji oraz wdrożenie mechanizmów walidacji i parametryzacji zapytań SQL w celu zapobiegania atakom SQL Injection.
Oryginalny opis (angielski, źródło NVD)
An issue in Horizon Business Services Inc. Caterease 16.0.1.1663 through 24.0.1.2405 and possibly later versions, allows a remote attacker to perform SQL Injection due to improper neutralization of special elements used in an SQL command.

