Katalog CVE

CVE-2025-40639

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Eventobot zidentyfikowano podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie baz danych za pomocą parametru 'promo_send' w pliku '/assets/php/calculate_discount.php'.

Ocena ryzyka

Podatność ta stwarza poważne zagrożenie dla integralności i poufności danych w organizacji, umożliwiając nieautoryzowany dostęp do baz danych.

Rekomendacja

Zaleca się natychmiastowe wprowadzenie poprawek zabezpieczeń oraz walidację danych wejściowych w celu zminimalizowania ryzyka wstrzykiwania SQL.

Oryginalny opis (angielski, źródło NVD)

A SQL injection vulnerability has been found in Eventobot. This vulnerability allows an attacker to retrieve, create, update and delete databases through the 'promo_send' parameter in the '/assets/php/calculate_discount.php'.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS