Katalog CVE

CVE-2024-55160

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.50%

Percentyl 39 - wyżej niż 39% wszystkich znanych CVE

Streszczenie

W systemie GFast w wersjach od 2 do 3.2 wykryto podatność na wstrzykiwanie SQL w parametrze OrderBy w endpointcie /system/operLog/list. Atakujący może manipulować tym parametrem, aby wykonać nieautoryzowane zapytania do bazy danych.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do danych w bazie, ich modyfikacji lub usunięcia, co może prowadzić do naruszenia poufności i integralności danych organizacji.

Rekomendacja

Należy natychmiast zaktualizować system GFast do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, należy zastosować walidację i sanityzację parametru OrderBy po stronie serwera.

Oryginalny opis (angielski, źródło NVD)

GFast between v2 to v3.2 was discovered to contain a SQL injection vulnerability via the OrderBy parameter at /system/operLog/list.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS