CVE-2025-52390
KrytyczneStreszczenie
Saurus CMS Community Edition od commita d886e5b0 (2010-04-23) jest podatny na atak typu SQL Injection w metodzie `prepareSearchQuery()` w pliku `FulltextSearch.class.php`. Aplikacja bezpośrednio łączy dane wejściowe dostarczone przez użytkownika (`$search_word`) z zapytaniami SQL bez ich sanitizacji, co umożliwia atakującym manipulację logiką SQL.
Ocena ryzyka
Podatność ta może prowadzić do wycieku wrażliwych informacji lub eskalacji uprawnień, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz stosowanie przygotowanych zapytań SQL, aby zminimalizować ryzyko ataków typu SQL Injection.
Oryginalny opis (angielski, źródło NVD)
Saurus CMS Community Edition since commit d886e5b0 (2010-04-23) is vulnerable to a SQL Injection vulnerability in the `prepareSearchQuery()` method in `FulltextSearch.class.php`. The application directly concatenates user-supplied input (`$search_word`) into SQL queries without sanitization, allowing attackers to manipulate the SQL logic and potentially extract sensitive information or escalate their privileges.

