Katalog CVE

CVE-2024-41618

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Aplikacja Money Manager EX WebApp w wersji 1.2.2 jest podatna na atak typu SQL Injection w funkcji `transaction_delete_group`. Podatność wynika z niewłaściwego oczyszczania danych wejściowych użytkownika w parametrze `TrDeleteArr`, który jest bezpośrednio włączany do zapytania SQL.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych operacji na bazie danych, co może prowadzić do utraty danych lub naruszenia poufności informacji.

Rekomendacja

Zaleca się poprawienie sanitizacji danych wejściowych w parametrze `TrDeleteArr` oraz aktualizację aplikacji do najnowszej wersji, aby zminimalizować ryzyko ataku.

Oryginalny opis (angielski, źródło NVD)

Money Manager EX WebApp (web-money-manager-ex) 1.2.2 is vulnerable to SQL Injection in the `transaction_delete_group` function. The vulnerability is due to improper sanitization of user input in the `TrDeleteArr` parameter, which is directly incorporated into an SQL query.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS