CVE-2025-41008
KrytyczneStreszczenie
Podatność typu SQL injection w Sinturno umożliwia atakującemu dostęp do baz danych poprzez parametr 'client' w punkcie końcowym '/_adm/scripts/modalReport_data.php'. Atakujący może nie tylko odczytywać, ale także tworzyć, aktualizować i usuwać dane w bazach.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości nieautoryzowanego dostępu do wrażliwych danych oraz potencjalnej utraty integralności danych. Atakujący może wykorzystać tę podatność do przeprowadzenia poważnych ataków na system.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie Sinturno do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające przed SQL injection, takie jak walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
SQL injection vulnerability in Sinturno. This vulnerability allows an attacker to retrieve, create, update, and delete databases through the 'client' parameter in the '/_adm/scripts/modalReport_data.php' endpoint.

