Katalog CVE
CVE-2024-8503
KrytyczneStreszczenie
W VICIdial występuje podatność na atak typu SQL injection, która pozwala nieautoryzowanemu atakującemu na enumerację rekordów bazy danych. Domyślnie VICIdial przechowuje hasła w postaci niezaszyfrowanej w bazie danych.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych danych, w tym haseł użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się zabezpieczenie aplikacji przed atakami SQL injection oraz wdrożenie szyfrowania haseł w bazie danych.
Oryginalny opis (angielski, źródło NVD)
An unauthenticated attacker can leverage a time-based SQL injection vulnerability in VICIdial to enumerate database records. By default, VICIdial stores plaintext credentials within the database.

